Permit
Permit 是一个访问控制平台,它使用各种模型(如 RBAC、ABAC 和 ReBAC)提供细粒度的实时权限管理。它使组织能够在应用程序中实施动态策略,确保只有授权用户才能访问特定资源。
概述
此软件包提供了两个 Langchain 工具,用于 JWT 验证和使用 Permit 进行权限检查
-
LangchainJWTValidationTool:根据 JWKS 终端节点验证 JWT 令牌
-
LangchainPermissionsCheckTool:使用 Permit 检查用户权限
设置
设置以下环境变量
PERMIT_API_KEY=your_permit_api_key
JWKS_URL=your_jwks_endpoint_url
PERMIT_PDP_URL=your_permit_pdp_url # Usually https://127.0.0.1:7766 for local development or your real deployment
确保您的 PDP(策略决策点)在 PERMIT_PDP_URL 上运行。有关策略设置以及如何启动 PDP 容器的详细信息,请参阅 Permit 文档。
凭据
PERMIT_API_KEY=
JWKS_URL=your_jwks_endpoint_url # or your deployed url
PERMIT_PDP_URL=your_pdp_url # or your deployed url
TEST_JWT_TOKEN= # for quick test purposes
设置 LangSmith 以获得一流的可观测性也很有帮助(但不是必需的)
实例化
JWT 验证工具
JWT 验证工具根据 JWKS(JSON Web Key Set)终端节点验证 JWT 令牌。
from langchain_permit.tools import LangchainJWTValidationTool
# Initialize the tool
jwt_validator = LangchainJWTValidationTool(
jwks_url=#your url endpoint
)
配置选项
您可以使用以下任一方式初始化该工具
- JWKS URL
- 直接 JWKS JSON 数据
- 环境变量 (JWKS_URL)
# Using direct JWKS JSON
jwt_validator = LangchainJWTValidationTool(
jwks_json={
"keys": [
{
"kid": "key-id",
"kty": "RSA",
...
}
]
}
)
权限检查工具
权限检查工具与 Permit.io 集成,以验证用户对资源的权限。
from permit import Permit
from langchain_permit.tools import LangchainPermissionsCheckTool
# Initialize Permit client
permit_client = Permit(
token="your_permit_api_key",
pdp=# Your PDP URL
)
# Initialize the tool
permissions_checker = LangchainPermissionsCheckTool(
permit=permit_client
)
本文档演示了这两个工具的关键功能和使用模式。
调用
使用 args 直接调用
JWT 验证工具
# Validate a token
async def validate_token():
claims = await jwt_validator._arun(
"..." # Your JWT token
)
print("Validated Claims:", claims)
权限检查工具
# Check permissions
async def check_user_permission():
result = await permissions_checker._arun(
user={
"key": "user-123",
"firstName": "John"
},
action="read",
resource={
"type": "Document",
"tenant": "default"
}
)
print("Permission granted:", result)
输入格式
权限检查器接受不同的输入格式
- 用户简单字符串(转换为用户密钥)
result = await permissions_checker._arun(
user="user-123",
action="read",
resource="Document"
)
- 完整用户对象
result = await permissions_checker._arun(
user={
"key": "user-123",
"firstName": "John",
"lastName": "Doe",
"email": "john@example.com",
"attributes": {"department": "IT"}
},
action="read",
resource={
"type": "Document",
"key": "doc-123",
"tenant": "techcorp",
"attributes": {"confidentiality": "high"}
}
)
使用 ToolCall 调用
(待办)
链接
- 待办:添加用户问题并运行单元格
我们可以通过首先将我们的工具绑定到 工具调用模型,然后调用它,在链中使用我们的工具
pip install -qU "langchain[openai]"
import getpass
import os
if not os.environ.get("OPENAI_API_KEY"):
os.environ["OPENAI_API_KEY"] = getpass.getpass("Enter API key for OpenAI: ")
from langchain.chat_models import init_chat_model
llm = init_chat_model("gpt-4o-mini", model_provider="openai")
其他演示脚本
对于完全可运行的演示,请查看此存储库中的 /langchain_permit/examples/demo_scripts 文件夹。您会找到
-
demo_jwt_validation.py – 一个快速脚本,展示如何使用 LangchainJWTValidationTool 验证 JWT。
-
demo_permissions_check.py – 一个脚本,展示如何使用 LangchainPermissionsCheckTool 执行 Permit.io 权限检查。
只需运行 python demo_jwt_validation.py 或 python demo_permissions_check.py(在设置您的环境变量之后)即可查看这些工具的实际应用。
API 参考
有关所有 Permit 功能和配置的详细文档,请访问 API 参考:https://docs.permit.io/