【認證與授權 - Open Policy Agent】關於策略語言Rego

2023/06/09閱讀時間約 5 分鐘

上一篇我們介紹了「【認證與授權】Open Policy Agent 授權策略」, 相信都已經初步了解了OPA(Open Policy Agent)主要在做什麼, OPA簡單來說就是一個授權的政策管理規範, 有點像我們的法律系統, 提供開發者在上面制定法條, 以約束授權對象可以進行什麼樣的操作, 讓各語言各自實作的授權政策有了統一的規範, 並獨立成一個模組區塊, 目的是讓越趨複雜的系統可以專注於功能, 而各類授權政策則獨立開發、測試, 讓職責分明, 問題追朔更加容易。

圖片來源

既然OPA是一種授權的政策管理規範, 就像法律一般也一定會有法條的組成, 而在OPA的世界裡, 組成法條的就是Rego這個語言, 專門用於描述和評估政策規則, 提供了靈活的工具，開發人員可以使用這些工具來編寫、測試和調試政策規則, 這次就來介紹一下Rego這套語言究竟與我們傳統的程式語言有什麼不同吧！

簡介

Rego這個語言的發展主要受到Datalog的啟發， Datalog是一種數據查詢語言，這種語言有很強的知識推理能力，本質上都是為了解一個邏輯問題， Datalog已經具有數十年歷史的查詢語言，但Rego並非完全遵循Datalog的語法，而是以支持JSON格式的方式，更貼近於現代化的撰寫方式。

為什麼要使用Rego語法？

以宣告式寫法精簡程式碼，什麼是宣告式呢？請參考「【程式設計基礎知識】宣告式 V.S 指令式」。
不需要太複雜的邏輯，只需要制定授權的策略即可。
Data的描述以JSON形式表達。
OPA根據Rego的表達規則進行索引運算，提升效能，詳細的演算法內容請參考： https://blog.openpolicyagent.org/optimizing-opa-rule-indexing-59f03f17caf3。
對於制定的策略可以進行單元測試。
可以進行Benchmark，優化我們的策略判斷。

總而言之，Rego是OPA的政策語言，用於描述和評估政策規則，它提供了一種結構化和可讀性高的方式來定義政策，並與OPA引擎緊密集成，實現細粒度的存取控制和政策管理。

初步認識一下Rego

語法結構

相同的規則檢查名稱，其中一組符合就通過檢查。
規則檢查區塊中的每一條表達式都是And的關係。

default 規則檢查名稱 = 預設值

規則檢查名稱 {
		表達式
		表達式
		...
}

規則檢查名稱 {
		...
}

預設規則的回傳值

以下會預設allow未滿足判斷條件時， allow會等於false。

default allow = false

allow {
    x := 42
    y := 41
    x < y
}

// return false

但假設沒有預設值，就會回傳undefined。

allow {
    x := 42
    y := 41
    x < y
}

// return undefine

多條表達式之間都是And關係，順序性影響不大

正常撰寫表達式如下：

t2 {
    x := 42
    y := 41
    x > y
}
expression-1 AND expression-2 AND ... AND expression-N

替換順序，結果仍然正確，因此我們在寫決策時，也可以先把期望的判斷寫好，在補上需要的Data：

t2 {
    x > y
		x = 42
		y = 41
}

否定語句使用 not 關鍵字

t {
    greeting := "hello"
    not greeting == "goodbye"
}

// reult true

Function結構

我們撰寫程式時，常常需要把重複的功能獨立成Function，而rego語法也提供了Function的功能結構如下：

<function_name>(<params>...) = <return_value_variable> { 
		<expression-N>...
}
trim_and_split(s) = x {
     t := trim(s, " ")
     x := split(t, ".")
}

Else關鍵字

authorize = "allow" {
    input.user == "superuser"           # allow 'superuser' to perform any operation.
} else = "deny" {
    input.path[0] == "admin"            # disallow 'admin' operations...
    input.source_network == "external"  # from external networks.
} # ... more rules

結語

不論我們今天是否使用Rego這個語言, 重要的是其中的設計精髓, 以宣告式設計來表述一件工作或者事物, 讓我們專注於設計最終結果, 以終為始, 逐步填充過程。

喜歡撰寫文章的你，不妨來了解一下：

Web3.0時代下為創作者、閱讀者打造的專屬共贏平台 — 為什麼要加入？

歡迎加入一起練習寫作，賺取知識！

為什麼會看到廣告

#認證與授權

阿Han的沙龍阿Han的軟體技術棧 💡認證與授權

阿Han的沙龍

116會員

257內容數

哈囉，我是阿Han，是一位 👩‍💻 軟體研發工程師，喜歡閱讀、學習、撰寫文章及教學，擅長以圖代文，化繁為簡，除了幫助自己釐清思路之外，也希望藉由圖解的方式幫助大家共同學習，甚至手把手帶您設計出高品質的軟體產品。

留言0

查看全部

發表第一個留言支持創作者！

阿Han的沙龍的其他內容

【認證與授權 — Open Policy Agent】如何用RESTFUL API來串接

上一篇我們有介紹什麼是OPA以及一些基本概念「【資訊軟體知識】Open Policy Agent 授權策略」，接下來我們就來介紹如何架設並以API的方式進行授權檢查。這種方式的好處是可以跨語言，不侷限於Go，透過標準RESTFUL API的方式來與OPA Server相互溝通。使用Docke

#認證與授權

【認證與授權】曇花一現的OTP如何保護我們的資產

使用網銀時我們常常會聽到OTP、OTP, 究竟OTP是什麼呢？全名為「One Time Password」, 一次性密碼, 顧名思義就是密碼僅能一次性的使用, 在過去我們也都很清楚單純的帳號密碼登入已經不是一個非常安全的選項的, 萬一牽涉到重要的金錢交易時, 如果安全環節沒有兼顧, 將導致個人財產

#OTP #認證與授權

【認證與授權】Open Policy Agent 授權策略

這次來介紹軟體世界中很常遇到的授權策略，而有沒有比較好的一種策略方式，讓開發者可以遵循一套標準呢？答案是有的，就來介紹一下新寵兒，Open Polocy Agent吧！首先我們先搞懂什麼是認證？什麼又是授權？還懵懵懂懂的朋友們可以請先參考這一篇「Authentication、Authoriz

#認證與授權

【認證與授權】Authorization策略 — RBAC模型介紹

前一篇的「Authentication、Authorization，傻傻分不清楚？」主要在介紹認證與授權的差異之處，而本章節著重於授權這部分，也使用了經典的RBAC模型進行說明。 RBAC模型（Role-Based Access Control：基於角色的訪問控制)，認為可以抽象的表示： Who是

#Authentication #Authorization #認證

【認證與授權】Authentication、Authorization，傻傻分不清楚？

認證(authentication)跟授權(authorization)這兩個名詞常常被混淆，但本質上是完全不同的兩個概念，在數位化的時代下，為了確保每位使用者的安全性，每個系統幾乎都具備認證(authentication)與授權(authorization)這兩大功能，而這些概念也常常出現在我們生

#認證與授權 #認證 #授權

【認證與授權】JWT(JSON Web Token)簡介

概念: 有限時間內可使用通行證來要求對應的操作權限。 JWT 的組成內容有三個部分，由 . 做區隔，最後透過這三個部分，串成一個 Jwt 字串 [HEADER].[PAYLOAD].[SIGNATURE] 1. Header: 主要記載認證的方法 { "typ": "JWT", "

#JWT #jsonwebtoken #後端

「天天秋嗨嗨」：vocus 秋季徵文，五大主題 & 獎品登場！

這個秋，Chill 嗨嗨！穿搭美美去賞楓，裝備款款去露營⋯⋯你的秋天怎麼過？秋日 To Do List 等你分享！秋季全站徵文，我們準備了五個創作主題，參賽還有機會獲得「火烤兩用鍋」，一起來看看如何參加吧～

#天天秋嗨嗨 #秋季旅遊 #秋季穿搭

MimiVsJames的美股投資分享

2024/11/13

11/20 NVDA財報前Preview, 財報前股價波動走勢觀察

11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從

#美股 #美股投資 #投資理財

Ethan的沙龍

2024/02/27

維持皮膚健康與活力｜6款超人氣保濕、舒緩敏感化妝水評比

Hi 大家好，我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本，也是最重要的一步。無論是在畫室裡長時間對著畫布，還是在旅途中面對各種氣候變化，保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水，還能提升後續保養品的吸收效率。曾經，我的保養程序簡單到只包括清潔和隨意上乳液

#保養 #產品 #分享

大樹筆記的沙龍Big Tree's Notes Saloon

2024/05/25

劍橋兒童英語認證（YLE）A1 Movers 字彙閃卡(速記卡、字彙卡)

最近協助小朋友背單字準備考試，發現官方的字彙本是PDF且有加上詞性，卻沒有中文解釋，所以我整理一下單字中英對照表，有興趣的請自行取用，並且點選喜歡，留言，加入我的沙龍。多謝一開始先介紹什麼是YLE Movers 劍橋兒童英語認證（YLE）是劍橋大學英語考試院（Cambridge Assessm

#英語 #考試 #考生

kaci hintz的沙龍

2024/02/07

專業證照大揭密：按摩學徒的執照與認證之路

專業按摩證照的取得一直是追求按摩技術人士的目標，而其中最為瞭解的莫過於按摩學徒的執照與認證之路。從身體撥筋教學到經絡按摩課程，這些專業訓練不僅是一門技術，更是一種承諾和責任。身體撥筋教學是按摩技術中的重要一環，它不僅要求技巧熟練，更需要對人體結構和疾病有深入的了解。撥筋課程涵蓋了解剖學、生理學等

Jetmedia的沙龍

2023/12/12

NIST 800-88 認證與其他抹除標準的全方位比較

NIST 800-88 認證與其他抹除標準的全方位比較索引引言 NIST 800-88 標準要求四大抹除標準比較該使用何種抹除標準? Q&A 引言 NIST 800-88，全名為《信息安全手冊》的第800-88號文件，是由美國國家標準技術研究所（NIST）所發布的一項

#數據 #組織 #設備

怪獸科技公司✖️沙龍

2023/11/10

跟著網路飛的Netflix，自由與責任兼具的企業文化，還有競爭對手迪士尼的應對策略｜趕快tech我 EP6.2.6

Netflix 最大的特色，大概就是在市場還沒全面看好前就持續投入。從一開始的 DVD 線上租賃服務到當今的串流事業，Netflix 經歷多次 pivot，包含亞馬遜（Amazon）併購失敗、放棄 DVD 銷售，後來轉型月費訂閱制、無延遲罰款，又或是百視達（Blockbuster）不願併購導致...

#Netflix #科技公司 #趕快tech我