PERM 元模型把 Policy、Effect、Request、Matchers 四块拼图抽象出来，让一份配置文件就能撑起 ACL、RBAC、ABAC 各种授权花样。Casbin 是这套理论的工程化身，本文用 Go 例子拆开讲它怎么工作，再和 OPA、OpenFGA 这两家不同流派的授权引擎做一次设计哲学和落地选型的对比。

如果要用开源组件搭一个 AWS IAM 风格的授权系统，不能只靠 OpenFGA 或 OPA。更合理的组合是 Keycloak/Dex 做用户身份，SPIFFE/SPIRE 做工作负载身份，STS 服务签发短期角色会话，OpenFGA 表达 trust/resource relationship，OPA 表达 permission policy、condition 和 explicit deny，再由 API Gateway 或服务中间件作为 PEP 执行决策。

RBAC 是授权领域的"老黄牛"，简单可靠，但在多租户、层级继承、动态共享等场景下力不从心。OpenFGA 基于 Google Zanzibar 论文，用关系元组（Relationship Tuple）重新定义了授权模型。本文从 RBAC 的局限出发，深入剖析 OpenFGA 的架构设计，探讨商业公司落地的路径与风险，以及开源方案与自研的取舍。

详细介绍如何在 Go 微服务中集成 Casbin 实现灵活的访问控制，包括 JWT 认证和基于角色的权限管理