[[379439]]

【51CTO.com快譯】從概念上說，身份驗證是指識別出用戶是誰，而授權(quán)是指確定某個已被認證用戶具有的何種訪問級別。不知您是否注意到：由于分布式應(yīng)用往往難以實現(xiàn)強大、且集中式管理所需的身份驗證和授權(quán)(Authentication and Authorization，A&A)策略，因此在微服務(wù)的實際應(yīng)用中，您可能時常會遇到驗證和授權(quán)的實施問題。下面，我將和您探討開放式策略代理(Open Policy Agent，OPA)是如何協(xié)助簡化授權(quán)問題的。

為簡單起見，我創(chuàng)建了一個帶有多個微服務(wù)應(yīng)用示例。通過其基本的用戶界面，我們可以在其中執(zhí)行各項操作，并查看產(chǎn)生的結(jié)果。該應(yīng)用將向您展示開放式策略代理是如何處理各種授權(quán)方案的。

應(yīng)用示例

在此，我們以銷售團隊常用的、為客戶制定報價的CPQ(配置、定價和報價)應(yīng)用(https://en.wikipedia.org/wiki/Configure,_price_and_quote)為例，定義并創(chuàng)建了如下角色：

• 銷售–作為銷售人員，他們可以為客戶創(chuàng)建并更新報價。但是不能刪除報價。
• 銷售支持–作為支持人員，他們可以查看所有報價，但不能編輯任何報價。
• 銷售管理員–作為管理員，他們可以查看所有報價，但不能編輯或創(chuàng)建任何報價。不過，他們可以根據(jù)清理需求去刪除報價。

鑒于本文僅專注于授權(quán)環(huán)節(jié)，在此，我們假設(shè)用戶已經(jīng)通過了身份驗證，并且持有有效的JSON Web令牌(JWT)。而且每個API請求，都會在請求的頭部包含該JWT。

該示例應(yīng)用在GitHub的下載鏈接為--https://github.com/gchaware/opa-ms-sample/tree/master。請根據(jù)README的說明，逐步進行安裝，并通過URL--http://來訪問其UI：

執(zhí)行授權(quán)

根據(jù)上述角色分配，我們授權(quán)

• 銷售團隊能夠創(chuàng)建新的報價，查看報價，以及更新現(xiàn)有報價。
• 銷售支持團隊只能查看報價，不能編輯或創(chuàng)建它們。
• 銷售管理團隊既能夠查看報價，又能夠刪除它們。

如上圖所示的UI顯示了多個按鈕，每個按鈕都代表用戶的一項操作。根據(jù)用戶選擇使用的角色，UI將會及時反饋創(chuàng)建、編輯或刪除商品操作成功與否的結(jié)果。

上圖展示了該應(yīng)用程序帶有兩個微服務(wù)：Offer(報價)和Customer(客戶)。通過將API向外界公布，NGINX反向代理能夠截獲每個API請求，并通過請求授權(quán)服務(wù)，來驗證是否允許用戶執(zhí)行該請求的相關(guān)操作。

在此，我們使用NGINX的auth_request指令，來截獲傳入的API調(diào)用。其中，每個API調(diào)用都有一個包含了JWT頭部的授權(quán)。而所有用戶的基本信息，包括其角色都被包含在JWT中。在此，該授權(quán)服務(wù)帶有兩個容器：

• Authorization(授權(quán))–作為已定制的授權(quán)服務(wù)，可用于接收請求，并為下面的Open Policy Agent創(chuàng)建經(jīng)過格式化的輸入請求。
• Open Policy Agent (OPA，開放策略代理)–作為輔助工具，它通過對外公布HTTP端點，以實現(xiàn)與授權(quán)容器的通信。

首先，NGINX會將/authorize的請求發(fā)送給授權(quán)容器，以授權(quán)某個API調(diào)用。接著，授權(quán)服務(wù)會向開放策略代理詢問是否有授權(quán)請求(true/false)。然后，它向NGINX返回成功(200 OK)或者是失敗(403 Forbidden)的響應(yīng)。據(jù)此，NGINX或是允許API的調(diào)用，或是向客戶端返回403 Forbidden的響應(yīng)。

什么是開放策略代理?

開放策略代理(OPA)是一個開源的通用策略引擎，它統(tǒng)一了整個棧中的策略執(zhí)行。OPA提供了一種高級聲明性的語言，可方便您將策略轉(zhuǎn)換為代碼和簡單的API，進而減輕了軟件在決策時的負擔。您可以在微服務(wù)、Kubernetes、CI/CD管道、以及API網(wǎng)關(guān)中，使用OPA來實施策略。

由于OPA能夠接受JSON之類結(jié)構(gòu)化的數(shù)據(jù)作為輸入，并且可以返回true/false的決策，或?qū)⑷我饨Y(jié)構(gòu)化的數(shù)據(jù)作為輸出，因此它能夠有效地將決策與執(zhí)行予以脫鉤。

值得一提的是，OPA使用rego作為策略語言。您可以通過鏈接--https://www.openpolicyagent.org/docs/latest/，了解更多有關(guān)rego和開放策略代理的信息。

詳述授權(quán)服務(wù)

下面讓我們來詳細討論授權(quán)服務(wù)的具體工作方式。

如上圖所示，我們在服務(wù)器模式下運行開放策略代理，并利用其REST API的更新策略來獲取決策。如下命令展示了開放策略代理通過對外公布REST API，來創(chuàng)建或更新策略。

PUT /v1/policies/ Content-Type: text/plain 

在本例中，我們需要端點接收如下的請求，來更新OPA中的策略(具體可參照它在GitHub里的README)。

curl -X PUT --data-binary @policies/httpapi.authz.rego http:///authorize/v1/policies/httpapi/authz 

同時，我們需要另一個API來根據(jù)政策做出決策：

POST /v1/data/ 
Content-Type: application/json 

此處的 是由諸如“package httpapi.authz”之類的策略予以標識的。在該示例中，由于我們需要刪除訂單ID“1000”，因此授權(quán)服務(wù)將使用以下請求，去調(diào)用端點--http://localhost:8181/data/httpapi/authz。其具體Java代碼如下：

  {   
    
       "input" : {   
    
          "method": "DELETE",   
    
          "api": "/offer/1000",   
    
          "jwt": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJPbmxpbmUgSldUIEJ1aWxkZXIiLCJpYXQiOjE1NzQ2NjM3MDAsImV4cCI6NDA5OTE4NTMwMCwiYXVkIjoib3BhLWV4YW1wbGUuY29tIiwic3ViIjoianjvy2tldeblegftcgxllmnvbsisikdpdmvutmftzsi6ikpvag5uesisiln1cm5hbwuioijsb2nrzxqilcjfbwfpbci6impyb2nrzxrazxhhbxbszs5jb20iLCJSb2xlIjoiU2FsZXMgQWRtaW4ifQ._UtjZtowF3NNN3IF1t0LBHuzQhdfIfsO8jC-46GvbRM"   
   
     }   
   
 }   

由代碼可知，授權(quán)應(yīng)用程序?qū)⑹盏綇腘GINX發(fā)來的請求，并根據(jù)上面的邏輯圖為OPA產(chǎn)生輸入請求。針對該示例，我們在前端代碼中對JWT進行了硬編碼。而且每個API請求都會在Authorization頭部包含JWT。據(jù)此，授權(quán)應(yīng)用程序在獲取JWT后，會將其添加到OPA的輸入請求中。其具體Java代碼如下：

Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJMb2NhbEpXVElzc3VlciIsImlhdCI6MTU3MzcyNzM5MSwiZXhwIjo0MDk4MjQ1Mzc4LCJhdWQiOiJvcGEtZXhhbXBsZS5jb20iLCJzdWIiOiJzYWxlc0BleGFtcGxlLmNvbSIsIkdpdmVuTmFtdyI6IkpvaG5ueSIsIlN1cm5hbWUiOiJTYWxlcyIsIkVtYWlsIjoianNhbGVzQGV4YW1wbGUuY29tIiwiUm9sZSI6IlNhbGVzIn0.UbHWQpCMwupzsFp8f0CQ4o_bJSVaBugKijhcURZ_Mko 

值得注意的是，授權(quán)服務(wù)只會從輸入的請求中檢索JWT，而不會對其進行解碼。因此，OPA會通過內(nèi)置的io.jwt.decode功能函數(shù)，去支持JWT的解析。

您可以通過鏈接--https://play.openpolicyagent.org/p/4LOvGaEXEU，進一步了解rego策略的相關(guān)程序代碼與邏輯。通過嘗試不同的輸入請求，您將能夠查看到OPA為每一個請求所生成的不同輸出。

小結(jié)

綜上所述，開放策略代理提供了一種將授權(quán)決策與微服務(wù)中的業(yè)務(wù)邏輯相分離的方法。在實際應(yīng)用中，系統(tǒng)管理員可以通過對開放策略代理進行設(shè)置，將生成授權(quán)策略(rego策略)的責任，委托給各個微服務(wù)的所有者。而微服務(wù)所有者和系統(tǒng)管理員都不會越界進行任何處理。

原文標題：Open Policy Agent: Microservices Authorization Simplified，作者：Gaurav Chaware

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】