古风名字,盗墓笔记小说,神墓辰东小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

簡化微服務(wù)驗(yàn)證的新方法：開放式策略代理（OPA）

從概念上說，身份驗(yàn)證是指識別出用戶是誰，而授權(quán)是指確定某個(gè)已被認(rèn)證用戶具有的何種訪問級別。不知您是否注意到：由于分布式應(yīng)用往往難以實(shí)現(xiàn)強(qiáng)大、且集中式管理所需的身份驗(yàn)證和授權(quán)(Authentication and Authorization，A&A)策略，因此在微服務(wù)的實(shí)際應(yīng)用中，您可能時(shí)常會(huì)遇到驗(yàn)證和授權(quán)的實(shí)施問題。下面，我將和您探討開放式策略代理(Open Policy Agent，OPA)是如何協(xié)助簡化授權(quán)問題的。

專注于為中小企業(yè)提供成都做網(wǎng)站、網(wǎng)站制作服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)大田免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了上千家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

為簡單起見，我創(chuàng)建了一個(gè)帶有多個(gè)微服務(wù)應(yīng)用示例。通過其基本的用戶界面，我們可以在其中執(zhí)行各項(xiàng)操作，并查看產(chǎn)生的結(jié)果。該應(yīng)用將向您展示開放式策略代理是如何處理各種授權(quán)方案的。

應(yīng)用示例

在此，我們以銷售團(tuán)隊(duì)常用的、為客戶制定報(bào)價(jià)的CPQ(配置、定價(jià)和報(bào)價(jià))應(yīng)用(https://en.wikipedia.org/wiki/Configure,_price_and_quote)為例，定義并創(chuàng)建了如下角色：

銷售–作為銷售人員，他們可以為客戶創(chuàng)建并更新報(bào)價(jià)。但是不能刪除報(bào)價(jià)。
銷售支持–作為支持人員，他們可以查看所有報(bào)價(jià)，但不能編輯任何報(bào)價(jià)。
銷售管理員–作為管理員，他們可以查看所有報(bào)價(jià)，但不能編輯或創(chuàng)建任何報(bào)價(jià)。不過，他們可以根據(jù)清理需求去刪除報(bào)價(jià)。

鑒于本文僅專注于授權(quán)環(huán)節(jié)，在此，我們假設(shè)用戶已經(jīng)通過了身份驗(yàn)證，并且持有有效的JSON Web令牌(JWT)。而且每個(gè)API請求，都會(huì)在請求的頭部包含該JWT。

該示例應(yīng)用在GitHub的下載鏈接為--https://github.com/gchaware/opa-ms-sample/tree/master。請根據(jù)README的說明，逐步進(jìn)行安裝，并通過URL--http:// 來訪問其UI：

執(zhí)行授權(quán)

根據(jù)上述角色分配，我們授權(quán)

銷售團(tuán)隊(duì)能夠創(chuàng)建新的報(bào)價(jià)，查看報(bào)價(jià)，以及更新現(xiàn)有報(bào)價(jià)。
銷售支持團(tuán)隊(duì)只能查看報(bào)價(jià)，不能編輯或創(chuàng)建它們。
銷售管理團(tuán)隊(duì)既能夠查看報(bào)價(jià)，又能夠刪除它們。

如上圖所示的UI顯示了多個(gè)按鈕，每個(gè)按鈕都代表用戶的一項(xiàng)操作。根據(jù)用戶選擇使用的角色，UI將會(huì)及時(shí)反饋創(chuàng)建、編輯或刪除商品操作成功與否的結(jié)果。

上圖展示了該應(yīng)用程序帶有兩個(gè)微服務(wù)：Offer(報(bào)價(jià))和Customer(客戶)。通過將API向外界公布，NGINX反向代理能夠截獲每個(gè)API請求，并通過請求授權(quán)服務(wù)，來驗(yàn)證是否允許用戶執(zhí)行該請求的相關(guān)操作。

在此，我們使用NGINX的auth_request指令，來截獲傳入的API調(diào)用。其中，每個(gè)API調(diào)用都有一個(gè)包含了JWT頭部的授權(quán)。而所有用戶的基本信息，包括其角色都被包含在JWT中。在此，該授權(quán)服務(wù)帶有兩個(gè)容器：

Authorization(授權(quán))–作為已定制的授權(quán)服務(wù)，可用于接收請求，并為下面的Open Policy Agent創(chuàng)建經(jīng)過格式化的輸入請求。
Open Policy Agent (OPA，開放策略代理)–作為輔助工具，它通過對外公布HTTP端點(diǎn)，以實(shí)現(xiàn)與授權(quán)容器的通信。

首先，NGINX會(huì)將/authorize的請求發(fā)送給授權(quán)容器，以授權(quán)某個(gè)API調(diào)用。接著，授權(quán)服務(wù)會(huì)向開放策略代理詢問是否有授權(quán)請求(true/false)。然后，它向NGINX返回成功(200 OK)或者是失敗(403 Forbidden)的響應(yīng)。據(jù)此，NGINX或是允許API的調(diào)用，或是向客戶端返回403 Forbidden的響應(yīng)。

什么是開放策略代理?

開放策略代理(OPA)是一個(gè)開源的通用策略引擎，它統(tǒng)一了整個(gè)棧中的策略執(zhí)行。OPA提供了一種高級聲明性的語言，可方便您將策略轉(zhuǎn)換為代碼和簡單的API，進(jìn)而減輕了軟件在決策時(shí)的負(fù)擔(dān)。您可以在微服務(wù)、Kubernetes、CI/CD管道、以及API網(wǎng)關(guān)中，使用OPA來實(shí)施策略。

由于OPA能夠接受JSON之類結(jié)構(gòu)化的數(shù)據(jù)作為輸入，并且可以返回true/false的決策，或?qū)⑷我饨Y(jié)構(gòu)化的數(shù)據(jù)作為輸出，因此它能夠有效地將決策與執(zhí)行予以脫鉤。

值得一提的是，OPA使用rego作為策略語言。您可以通過鏈接--https://www.openpolicyagent.org/docs/latest/，了解更多有關(guān)rego和開放策略代理的信息。

詳述授權(quán)服務(wù)

下面讓我們來詳細(xì)討論授權(quán)服務(wù)的具體工作方式。

如上圖所示，我們在服務(wù)器模式下運(yùn)行開放策略代理，并利用其REST API的更新策略來獲取決策。如下命令展示了開放策略代理通過對外公布REST API，來創(chuàng)建或更新策略。

 
 
 
 
  
  
  
  PUT /v1/policies/ Content-Type: text/plain

在本例中，我們需要端點(diǎn)接收如下的請求，來更新OPA中的策略(具體可參照它在GitHub里的README)。

 
 
 
 
  
  
  
  curl -X PUT --data-binary @policies/httpapi.authz.rego http:///authorize/v1/policies/httpapi/authz

同時(shí)，我們需要另一個(gè)API來根據(jù)政策做出決策：

 
 
 
 
  
  
  
  POST /v1/data/   
  
  
  Content-Type: application/json

此處的是由諸如“package httpapi.authz”之類的策略予以標(biāo)識的。在該示例中，由于我們需要?jiǎng)h除訂單ID“1000”，因此授權(quán)服務(wù)將使用以下請求，去調(diào)用端點(diǎn)--http://localhost:8181/data/httpapi/authz。其具體Java代碼如下：

 
 
 
 
  
  
  
    {     
  
  
        
  
  
         "input" : {     
  
  
        
  
  
            "method": "DELETE",     
  
  
        
  
  
            "api": "/offer/1000",     
  
  
        
  
  
            "jwt": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJPbmxpbmUgSldUIEJ1aWxkZXIiLCJpYXQiOjE1NzQ2NjM3MDAsImV4cCI6NDA5OTE4NTMwMCwiYXVkIjoib3BhLWV4YW1wbGUuY29tIiwic3ViIjoianjvy2tldeblegftcgxllmnvbsisikdpdmvutmftzsi6ikpvag5uesisiln1cm5hbwuioijsb2nrzxqilcjfbwfpbci6impyb2nrzxrazxhhbxbszs5jb20iLCJSb2xlIjoiU2FsZXMgQWRtaW4ifQ._UtjZtowF3NNN3IF1t0LBHuzQhdfIfsO8jC-46GvbRM"     
  
  
       
  
  
       }     
  
  
       
  
  
   }

由代碼可知，授權(quán)應(yīng)用程序?qū)⑹盏綇腘GINX發(fā)來的請求，并根據(jù)上面的邏輯圖為OPA產(chǎn)生輸入請求。針對該示例，我們在前端代碼中對JWT進(jìn)行了硬編碼。而且每個(gè)API請求都會(huì)在Authorization頭部包含JWT。據(jù)此，授權(quán)應(yīng)用程序在獲取JWT后，會(huì)將其添加到OPA的輸入請求中。其具體Java代碼如下：

 
 
 
 
  
  
  
  Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJMb2NhbEpXVElzc3VlciIsImlhdCI6MTU3MzcyNzM5MSwiZXhwIjo0MDk4MjQ1Mzc4LCJhdWQiOiJvcGEtZXhhbXBsZS5jb20iLCJzdWIiOiJzYWxlc0BleGFtcGxlLmNvbSIsIkdpdmVuTmFtdyI6IkpvaG5ueSIsIlN1cm5hbWUiOiJTYWxlcyIsIkVtYWlsIjoianNhbGVzQGV4YW1wbGUuY29tIiwiUm9sZSI6IlNhbGVzIn0.UbHWQpCMwupzsFp8f0CQ4o_bJSVaBugKijhcURZ_Mko

值得注意的是，授權(quán)服務(wù)只會(huì)從輸入的請求中檢索JWT，而不會(huì)對其進(jìn)行解碼。因此，OPA會(huì)通過內(nèi)置的io.jwt.decode功能函數(shù)，去支持JWT的解析。

您可以通過鏈接--https://play.openpolicyagent.org/p/4LOvGaEXEU，進(jìn)一步了解rego策略的相關(guān)程序代碼與邏輯。通過嘗試不同的輸入請求，您將能夠查看到OPA為每一個(gè)請求所生成的不同輸出。

小結(jié)

綜上所述，開放策略代理提供了一種將授權(quán)決策與微服務(wù)中的業(yè)務(wù)邏輯相分離的方法。在實(shí)際應(yīng)用中，系統(tǒng)管理員可以通過對開放策略代理進(jìn)行設(shè)置，將生成授權(quán)策略(rego策略)的責(zé)任，委托給各個(gè)微服務(wù)的所有者。而微服務(wù)所有者和系統(tǒng)管理員都不會(huì)越界進(jìn)行任何處理。

名稱欄目：簡化微服務(wù)驗(yàn)證的新方法：開放式策略代理（OPA）
網(wǎng)站地址：http://fisionsoft.com.cn/article/cocohji.html

新聞中心

其他資訊