【認證與授權 - Open Policy Agent】關於策略語言Rego

2023/06/09閱讀時間約 5 分鐘

上一篇我們介紹了「【認證與授權】Open Policy Agent 授權策略」, 相信都已經初步了解了OPA(Open Policy Agent)主要在做什麼, OPA簡單來說就是一個授權的政策管理規範, 有點像我們的法律系統, 提供開發者在上面制定法條, 以約束授權對象可以進行什麼樣的操作, 讓各語言各自實作的授權政策有了統一的規範, 並獨立成一個模組區塊, 目的是讓越趨複雜的系統可以專注於功能, 而各類授權政策則獨立開發、測試, 讓職責分明, 問題追朔更加容易。

圖片來源

既然OPA是一種授權的政策管理規範, 就像法律一般也一定會有法條的組成, 而在OPA的世界裡, 組成法條的就是Rego這個語言, 專門用於描述和評估政策規則, 提供了靈活的工具，開發人員可以使用這些工具來編寫、測試和調試政策規則, 這次就來介紹一下Rego這套語言究竟與我們傳統的程式語言有什麼不同吧！

簡介

Rego這個語言的發展主要受到Datalog的啟發， Datalog是一種數據查詢語言，這種語言有很強的知識推理能力，本質上都是為了解一個邏輯問題， Datalog已經具有數十年歷史的查詢語言，但Rego並非完全遵循Datalog的語法，而是以支持JSON格式的方式，更貼近於現代化的撰寫方式。

為什麼要使用Rego語法？

以宣告式寫法精簡程式碼，什麼是宣告式呢？請參考「【程式設計基礎知識】宣告式 V.S 指令式」。
不需要太複雜的邏輯，只需要制定授權的策略即可。
Data的描述以JSON形式表達。
OPA根據Rego的表達規則進行索引運算，提升效能，詳細的演算法內容請參考： https://blog.openpolicyagent.org/optimizing-opa-rule-indexing-59f03f17caf3。
對於制定的策略可以進行單元測試。
可以進行Benchmark，優化我們的策略判斷。

總而言之，Rego是OPA的政策語言，用於描述和評估政策規則，它提供了一種結構化和可讀性高的方式來定義政策，並與OPA引擎緊密集成，實現細粒度的存取控制和政策管理。

初步認識一下Rego

語法結構

相同的規則檢查名稱，其中一組符合就通過檢查。
規則檢查區塊中的每一條表達式都是And的關係。

default 規則檢查名稱 = 預設值

規則檢查名稱 {
		表達式
		表達式
		...
}

規則檢查名稱 {
		...
}

預設規則的回傳值

以下會預設allow未滿足判斷條件時， allow會等於false。

default allow = false

allow {
    x := 42
    y := 41
    x < y
}

// return false

但假設沒有預設值，就會回傳undefined。

allow {
    x := 42
    y := 41
    x < y
}

// return undefine

多條表達式之間都是And關係，順序性影響不大

正常撰寫表達式如下：

t2 {
    x := 42
    y := 41
    x > y
}
expression-1 AND expression-2 AND ... AND expression-N

替換順序，結果仍然正確，因此我們在寫決策時，也可以先把期望的判斷寫好，在補上需要的Data：

t2 {
    x > y
		x = 42
		y = 41
}

否定語句使用 not 關鍵字

t {
    greeting := "hello"
    not greeting == "goodbye"
}

// reult true

Function結構

我們撰寫程式時，常常需要把重複的功能獨立成Function，而rego語法也提供了Function的功能結構如下：

<function_name>(<params>...) = <return_value_variable> { 
		<expression-N>...
}
trim_and_split(s) = x {
     t := trim(s, " ")
     x := split(t, ".")
}

Else關鍵字

authorize = "allow" {
    input.user == "superuser"           # allow 'superuser' to perform any operation.
} else = "deny" {
    input.path[0] == "admin"            # disallow 'admin' operations...
    input.source_network == "external"  # from external networks.
} # ... more rules

結語

不論我們今天是否使用Rego這個語言, 重要的是其中的設計精髓, 以宣告式設計來表述一件工作或者事物, 讓我們專注於設計最終結果, 以終為始, 逐步填充過程。

喜歡撰寫文章的你，不妨來了解一下：

Web3.0時代下為創作者、閱讀者打造的專屬共贏平台 — 為什麼要加入？

歡迎加入一起練習寫作，賺取知識！

即將進入廣告，捲動後可繼續閱讀

為什麼會看到廣告

#認證與授權

阿Han的沙龍阿Han的軟體技術棧 💡認證與授權

阿Han的沙龍

108會員

250Content count

哈囉，我是阿Han，是一位 👩‍💻 軟體研發工程師，喜歡閱讀、學習、撰寫文章及教學，擅長以圖代文，化繁為簡，除了幫助自己釐清思路之外，也希望藉由圖解的方式幫助大家共同學習，甚至手把手帶您設計出高品質的軟體產品。

留言0

查看全部

發表第一個留言支持創作者！

阿Han的沙龍的其他內容

【認證與授權 — Open Policy Agent】如何用RESTFUL API來串接

上一篇我們有介紹什麼是OPA以及一些基本概念「【資訊軟體知識】Open Policy Agent 授權策略」，接下來我們就來介紹如何架設並以API的方式進行授權檢查。這種方式的好處是可以跨語言，不侷限於Go，透過標準RESTFUL API的方式來與OPA Server相互溝通。使用Docke

#認證與授權

【認證與授權】曇花一現的OTP如何保護我們的資產

使用網銀時我們常常會聽到OTP、OTP, 究竟OTP是什麼呢？全名為「One Time Password」, 一次性密碼, 顧名思義就是密碼僅能一次性的使用, 在過去我們也都很清楚單純的帳號密碼登入已經不是一個非常安全的選項的, 萬一牽涉到重要的金錢交易時, 如果安全環節沒有兼顧, 將導致個人財產

#OTP #認證與授權

【認證與授權】Open Policy Agent 授權策略

這次來介紹軟體世界中很常遇到的授權策略，而有沒有比較好的一種策略方式，讓開發者可以遵循一套標準呢？答案是有的，就來介紹一下新寵兒，Open Polocy Agent吧！首先我們先搞懂什麼是認證？什麼又是授權？還懵懵懂懂的朋友們可以請先參考這一篇「Authentication、Authoriz

#認證與授權

【認證與授權】Authorization策略 — RBAC模型介紹

前一篇的「Authentication、Authorization，傻傻分不清楚？」主要在介紹認證與授權的差異之處，而本章節著重於授權這部分，也使用了經典的RBAC模型進行說明。 RBAC模型（Role-Based Access Control：基於角色的訪問控制)，認為可以抽象的表示： Who是

#Authentication #Authorization #認證

【認證與授權】Authentication、Authorization，傻傻分不清楚？

認證(authentication)跟授權(authorization)這兩個名詞常常被混淆，但本質上是完全不同的兩個概念，在數位化的時代下，為了確保每位使用者的安全性，每個系統幾乎都具備認證(authentication)與授權(authorization)這兩大功能，而這些概念也常常出現在我們生

#認證與授權 #認證 #授權

【認證與授權】JWT(JSON Web Token)簡介

概念: 有限時間內可使用通行證來要求對應的操作權限。 JWT 的組成內容有三個部分，由 . 做區隔，最後透過這三個部分，串成一個 Jwt 字串 [HEADER].[PAYLOAD].[SIGNATURE] 1. Header: 主要記載認證的方法 { "typ": "JWT", "

#JWT #jsonwebtoken #後端

操盤手の交易週報與展望(Sep.W2)

1.加權指數與櫃買指數週五的加權指數在非農就業數據開出來後，雖稍微低於預期，但指數仍向上噴出，在美股開盤後於21500形成一個爆量假突破後急轉直下，就一路收至最低。台股方面走勢需觀察週一在斷頭潮出現後，週二或週三開始有無買單進場支撐，在沒有明確的反轉訊號形成前，小夥伴盡量不要貿然抄底，或是追空

美股韭菜王

2024/09/18

Fed 9月會議：傳達「不想要落後給曲線」的正向信號，著手管理市場的衰退預期

重點摘要： 1.9 月降息 2 碼、進一步暗示年內還有 50 bp 降息 2.SEP 上修失業率預期，但快速的降息速率將有助失業率觸頂 3.未來幾個月經濟數據將繼續轉弱，經濟復甦的時點或是 1Q25 季底附近

#聯準會 #Fed #降息

方格子 vocus 官方沙龍

2024/08/27

「相簿裡最捨不得刪的 N 張照片！」：完成任務抽富士即可拍！

近期的「貼文發佈流程 & 版型大更新」功能大家使用了嗎？新版式整體視覺上「更加凸顯圖片」，為了搭配這次的更新，我們推出首次貼文策展 ❤️ 使用貼文功能並完成這次的指定任務，還有機會獲得富士即可拍，讓你的美好回憶都可以用即可拍珍藏！

#相簿裡最捨不得刪的照片

大樹筆記的沙龍Big Tree's Notes Saloon

2024/05/25

劍橋兒童英語認證（YLE）A1 Movers 字彙閃卡(速記卡、字彙卡)

最近協助小朋友背單字準備考試，發現官方的字彙本是PDF且有加上詞性，卻沒有中文解釋，所以我整理一下單字中英對照表，有興趣的請自行取用，並且點選喜歡，留言，加入我的沙龍。多謝一開始先介紹什麼是YLE Movers 劍橋兒童英語認證（YLE）是劍橋大學英語考試院（Cambridge Assessm

#英語 #考試 #考生

kaci hintz的沙龍

2024/02/07

專業證照大揭密：按摩學徒的執照與認證之路

專業按摩證照的取得一直是追求按摩技術人士的目標，而其中最為瞭解的莫過於按摩學徒的執照與認證之路。從身體撥筋教學到經絡按摩課程，這些專業訓練不僅是一門技術，更是一種承諾和責任。身體撥筋教學是按摩技術中的重要一環，它不僅要求技巧熟練，更需要對人體結構和疾病有深入的了解。撥筋課程涵蓋了解剖學、生理學等

Jetmedia的沙龍

2023/12/12

NIST 800-88 認證與其他抹除標準的全方位比較

NIST 800-88 認證與其他抹除標準的全方位比較索引引言 NIST 800-88 標準要求四大抹除標準比較該使用何種抹除標準? Q&A 引言 NIST 800-88，全名為《信息安全手冊》的第800-88號文件，是由美國國家標準技術研究所（NIST）所發布的一項

#數據 #組織 #設備

怪獸科技公司✖️沙龍

2023/11/10

跟著網路飛的Netflix，自由與責任兼具的企業文化，還有競爭對手迪士尼的應對策略｜趕快tech我 EP6.2.6

Netflix 最大的特色，大概就是在市場還沒全面看好前就持續投入。從一開始的 DVD 線上租賃服務到當今的串流事業，Netflix 經歷多次 pivot，包含亞馬遜（Amazon）併購失敗、放棄 DVD 銷售，後來轉型月費訂閱制、無延遲罰款，又或是百視達（Blockbuster）不願併購導致...

#Netflix #科技公司 #趕快tech我