终极指南OPAL外部数据源配置与API策略源实战【免费下载链接】opalPolicy and data administration, distribution, and real-time updates on top of Policy Agents (OPA, Cedar, ...)项目地址: https://gitcode.com/gh_mirrors/opal1/opalOPALPolicy and data administration, distribution, and real-time updates on top of Policy Agents是一款强大的策略与数据管理工具能够在OPA、Cedar等策略代理之上实现实时更新和分发。本文将为您提供OPAL外部数据源配置与API策略源的完整实战指南帮助您轻松掌握这一核心功能。外部数据源配置基础什么是OPAL_DATA_CONFIG_SOURCESOPAL客户端有两种截然不同的数据源类型数据源类型数据格式功能数据来源策略和静态数据策略包- 数据格式与OPA原生包非常相似每个包包含策略rego和通常作为策略一部分包含的静态数据。静态是指数据很少变化就像在rego文件中声明数据一样默认来源是Git仓库。替代来源是公开tar包的API服务器动态数据DataSourceEntry- 可以理解为如何获取数据以及将其放入OPA文档树的指令关于以应用程序速率变化的数据的实时更新例如作为用户操作的结果可以是任何东西 - 数据库、第三方API、您的API等 - 通过获取提供程序可扩展。我们开箱即支持http apiOPAL_DATA_CONFIG_SOURCES是动态数据源它们是如何获取数据以及将其放入OPA的指令。它们是静态配置的因为它们包含完整图片数据源列表 - OPAL客户端加载后以及OPAL客户端和OPAL服务器之间每次断开连接后都会获取这些数据源。可以将其视为获取最新干净 slate数据的指令。何时需要配置外部数据源如果您的每个OPAL客户端都需要略有不同的配置您就不能使用像OPAL_DATA_CONFIG_SOURCES这样的静态配置变量来存储配置。在这种情况下您希望OPAL服务器根据请求配置的OPAL客户端的身份返回不同的DataSourceEntry配置。如何配置外部数据源OPAL服务器支持重定向到外部API服务器该服务器可以基于标识OPAL客户端的JWT令牌提供不同的DataSourceEntries。此外部API服务器应能够访问OPAL的公钥以便它可以正确验证OPAL JWT并确保在Bearer令牌中传递的OPAL身份有效。典型的OPAL_DATA_CONFIG_SOURCES配置如下所示{ config: { entries: [ { url: https://api.permit.io/v1/policy-config, topics: [ policy_data ], config: { headers: { Authorization: Bearer FAKE-SECRET } } } ] } }重定向到外部数据源的OPAL_DATA_CONFIG_SOURCES配置略有不同{ external_source_url: https://your-api.com/path/to/api/endpoint }可以看到配置现在简单多了。OPAL服务器将简单地重定向查询。重定向的工作原理当被请求数据源条目时OPAL服务器将简单地重定向到external_source_url但也会连接包含OPAL CLIENT JWT的URL查询参数。OPAL客户端的请求GET https://opal-server.com/data/configOPAL服务器的响应HTTP 307 Temporary Redirect https://your-api.com/path/to/api/endpoint?tokenOPAL_CLIENT_JWT这就是为什么您不应该使用非HTTPS的external_source_url的原因。OPAL依赖TLS/SSL加密因此它可以将JWT作为查询参数传递并知道它将被加密。外部API应采取的操作外部API应执行以下操作公开与OPAL配置中路径相同的http GET端点即/path/to/api/endpoint被访问时此端点应从token查询参数中提取OPAL客户端JWT。端点应验证令牌是有效的OPAL JWT通过使用OPAL公钥进行验证并使用JWT中的自定义声明来确定要返回的数据源。端点应返回JSON包含OPAL_DATA_CONFIG_SOURCES的唯一值对于该OPAL客户端即实际的数据源条目。API策略源实战ApiPolicySource类解析ApiPolicySource是OPAL中用于从API服务器获取策略包的核心类位于opal_common/sources/api_policy_source.py。它继承自BasePolicySource负责监视类似OPA的包服务器的更改并在检测到新包时触发回调。检查更改是通过向远程包服务器发送HTTP GET请求来完成的。OPAL将在触发webhook时或配置为运行轮询任务时定期检查更改。主要参数包括remote_source_url: 请求策略的基本地址local_clone_path: 本地git管理策略的路径polling_interval: 轮询之间需要等待的秒数token: 包含在与包服务器连接中的身份验证令牌bundle_server_type: 包服务器的类型核心方法解析fetch_policy_bundle_from_api_source: 用于从API源获取策略包。它会检查Etag或文件哈希来确定是否有新的包可用。api_update_policy: 异步更新策略提取新的包并提交到本地git仓库。check_for_changes: 触发对远程的API检查如果检测到新包将调用_on_new_policy回调。实际配置示例在opal_server/policy/watcher/factory.py中可以看到如何实例化ApiPolicySourcewatcher ApiPolicySource( remote_source_urlsource_url, local_clone_pathlocal_clone_path, polling_intervalpolling_interval, tokentoken, token_idtoken_id, regionregion, bundle_server_typebundle_server_type, )外部数据源API服务器实现步骤0颁发OPAL客户端令牌时使用自定义声明这些自定义声明将识别一个OPAL客户端与另一个。例如from opal_common.schemas.security import AccessTokenRequest, PeerType async with aiohttp.ClientSession(headers{Authorization: fbearer {OPAL_MASTER_TOKEN}}) as session: token_params AccessTokenRequest( typePeerType.client, ttltimedelta(daysCLIENT_TOKEN_TTL_IN_DAYS), claims{permit_client_id: pdp.client_id}, ).json() async with session.post(f{OPAL_SERVER_URL}/token, datatoken_params) as response: data: dict await response.json() token data.get(token, None)步骤1在外部API服务器中能够从http查询参数解析JWTfrom fastapi import APIRouter, Depends, Query from opal_common.authentication.types import JWTClaims from opal_common.authentication.deps import _JWTAuthenticator, verify_logged_in from opal_common.authentication.verifier import Unauthorized class RedirectJWTAuthenticator(_JWTAuthenticator): OPAL JWT authentication via HTTP query params. throws 401 if a valid jwt is not provided via the token query param. def __call__(self, token: Optional[str] Query(None)) - JWTClaims: if token is None: raise Unauthorized(descriptionAccess token was not provided!) return verify_logged_in(self.verifier, token)步骤2在外部API服务器中公开端点以提供动态数据源from fastapi import APIRouter, Depends from opal_common.authentication.types import JWTClaims from opal_common.schemas.data import DataSourceConfig, DataSourceEntry from opal_common.fetcher.providers.http_fetch_provider import HttpFetcherConfig from opal_common.authentication.verifier import JWTVerifier def init_dynamic_data_sources_router(): router APIRouter() verifier JWTVerifier( public_keyopal_common_config.AUTH_PUBLIC_KEY, algorithmopal_common_config.AUTH_JWT_ALGORITHM, audienceopal_common_config.AUTH_JWT_AUDIENCE, issueropal_common_config.AUTH_JWT_ISSUER, ) authenticator RedirectJWTAuthenticator(verifier) async def extract_pdp_from_jwt_claims_or_throw(claims: JWTClaims) - PDP: claim_client_id claims.get(permit_client_id, None) if claim_client_id is None: raise Unauthorized(descriptionprovided JWT does not have an permit_client_id claim!) return await PDP.from_id_or_throw_401(claim_client_id) router.get(/data/config, response_modelDataSourceConfig) async def get_opal_data_sources(claims: JWTClaims Depends(authenticator)): pdp: PDP await extract_pdp_from_jwt_claims_or_throw(claims) topics [fpolicy_data/{pdp.client_id}] return DataSourceConfig( entries[ DataSourceEntry( urlf{BACKEND_PUBLIC_URL}/v1/policy/config, topicstopics, configHttpFetcherConfig( headers{Authorization: fBearer {pdp.client_secret}} ) ) ], ) return router多租户环境中的外部数据源在多租户环境中可以在单个主题下使用多个外部数据源。每个租户获取自己的数据源但都发布到具有不同目标路径的同一主题。这种方法可以有效地管理不同租户的数据隔离和访问控制。总结通过本文的指南您应该已经掌握了OPAL外部数据源配置与API策略源的核心概念和实现方法。这些功能使OPAL能够灵活地适应不同的部署场景特别是在需要为不同客户端提供定制化数据源配置的情况下。要深入了解更多信息请参阅配置外部数据源和数据源配置官方文档。通过合理配置外部数据源和API策略源您可以充分发挥OPAL在策略和数据管理方面的强大能力为您的应用程序提供灵活、安全且实时的策略决策支持。【免费下载链接】opalPolicy and data administration, distribution, and real-time updates on top of Policy Agents (OPA, Cedar, ...)项目地址: https://gitcode.com/gh_mirrors/opal1/opal创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考