PERM 元模型把 Policy、Effect、Request、Matchers 四块拼图抽象出来，让一份配置文件就能撑起 ACL、RBAC、ABAC 各种授权花样。Casbin 是这套理论的工程化身，本文用 Go 例子拆开讲它怎么工作，再和 OPA、OpenFGA 这两家不同流派的授权引擎做一次设计哲学和落地选型的对比。

RBAC 是授权领域的"老黄牛"，简单可靠，但在多租户、层级继承、动态共享等场景下力不从心。OpenFGA 基于 Google Zanzibar 论文，用关系元组（Relationship Tuple）重新定义了授权模型。本文从 RBAC 的局限出发，深入剖析 OpenFGA 的架构设计，探讨商业公司落地的路径与风险，以及开源方案与自研的取舍。