51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

如何使用API网关和OPA实现RBAC

译文 精选
作者: 陈峻
开源 网络
在本文中,您将了解如何使用开源API网关Apache APISIX和开放策略代理 (OPA) 启用基于角色的访问控制 (RBAC)。

目前,为了确保合适的人员能够访问到合适的资源,我们需要对系统启用适当的访问控制方式。不过,面对各种广为熟悉的实现模型,构建其后端服务的API授权体系,往往是一个不小的挑战。在本文中,我们将讨论如何使用开源的API网关--Apache APISIX(https://apisix.apache.org/)和开放策略代理(Open Policy Agent,OPA,https://www.openpolicyagent.org/docs/latest/)为自己的API启用基于角色的访问控制(Role-based access control,RBAC)授权模型。

什么是RBAC?

基于角色的访问控制(RBAC,https://en.wikipedia.org/wiki/Role-based_access_control)和基于属性的访问控制(attribute-based access control,ABAC,https://en.wikipedia.org/wiki/Attribute-based_access_control)是两种最常用的访问控制模型,可用于管理计算机系统中的权限和对资源的访问。通常,RBAC会根据用户在组织中的角色职能与职责,向其分配权限。

也就是说,在RBAC中,角色是根据用户的功能或职责定义的,并为这些角色分配相应的权限。当然,在实际运营中,我们时常会给用户分配一到多个角色,以便他们继承与这些角色相关联的权限。例如,在API的上下文中,开发人员角色可能有权创建和更新API资源,而最终用户角色只有读取或执行API资源的权限。而且,在RBAC中,策略是由用户所分配的角色、他们有权执行的操作、以及他们执行操作时所需的资源等组合因素来定义的。如果说RBAC是根据用户角色来分配权限的话,那么ABAC则是根据与用户和资源所关联的属性来分配权限的。

什么是OPA?

作为一个策略引擎和一组工具,OPA提供了一种统一的方法,来横跨整个分布式系统去执行策略。它允许开发者从一个端点集中定义、管理和实施策略。通过将策略定义为代码,OPA可以轻松地审查、编辑和回滚策略,从而促进高效的策略管理。

如上图所示,OPA提供了一种被称为Rego(https://www.openpolicyagent.org/docs/latest/policy-language/)的声明性语言。它允许您在整个技术栈中创建和实施各种策略。当您向OPA请求某个政策决策时,它会使用您在文件中提供的规则和数据,来评估查询并生成响应,然后再将查询的结果作为策略决策,发回给您。由于OPA将其所需的所有策略和数据都存储在其内部缓存之中,因此它可以快速地返回结果。下面是一个简单的OPA Rego文件示例:

package example

default allow = false
allow {
   
input.method == "GET"
   
input.path =="/api/resource"
    input.user.role == "admin"
}

如上面的代码段所示,我们有一个名为“example”的包,它定义了一个名为“allow”的规则。该规则指定:如果输入方法是“GET”,请求的路径是/api/resource,并且用户角色是“admin”,则允许该请求。也就是说,如果同时满足这些条件,则“allow”规则将其评估为“真”,从而允许该请求继续进行。

为什么可针对RBAC使用OPA和API网关?

API网关提供了一个集中位置,来配置和管理API及其使用者。作为集中式身份验证网关,它有效地避免了让每个单独的服务,在其内部实现身份验证的逻辑。另一方面,OPA通过为授权创建一个单独的授权层,来将策略与代码分离。而通过这种组合,您可以将API资源的权限添加到角色上,进而为每个用户角色都定义一组对于RBAC资源(由URI路径来定义)的权限(GET、PUT、DELETE)。在下一节中,我们将学习如何使用两者来实现RBAC。

如何使用OPA和Apache APISIX实现RBAC

在Apache APISIX中,您可以通过配置路由(https://apisix.apache.org/docs/apisix/terminology/route/)和插件(https://apisix.apache.org/docs/apisix/terminology/plugin/),来定义API的行为。具体而言,您可以使用APISIX的OPA插件(https://apisix.apache.org/docs/apisix/plugins/opa/),通过将请求转发给OPA进行决策,来执行RBAC的相关策略。也就是说,OPA会根据用户的角色和权限,实时做出授权决策。

假设我们有一个Conference API(https://conferenceapi.azurewebsites.net/),您可以在其中检索/编辑活动会话、主题、以及演讲者信息。在授权方面,演讲者只能阅读自己的会话和主题,而管理员则可以添加/编辑更多会话和主题。而且,与会者可以通过POST请求,向/speaker/speakerId/session/feedback路径留下他们针对演讲者会议的反馈,而演讲者只能通过请求相同URI的GET方法才能看到。下图展示了整个场景:

1.  API使用者会在API网关上使用其凭据(如:授权标头中的JWT令牌,https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Authorization)来请求路由。

2.  API网关将带有JWT标头的使用者数据发送到OPA引擎。

3.  OPA使用我们在.rego文件中指定的策略(如:角色和权限),来评估使用者是否有权访问资源。

4.  如果OPA决定为“允许”,则该请求将被转发到上游的Conference服务。

接着,我们来安装和配置APISIX,并在OPA中定义各项策略。

先决条件

  • Docker(https://docs.docker.com/get-docker/),用于安装容器化的etcd和APISIX。
  • Curl(https://curl.se/),用于向APISIX Admin API发送请求。当然,您也可以使用Postman(https://www.postman.com/)等工具与API进行交互。

第 1 步:安装Apache APISIX

APISIX可以使用以下脚本被轻松地安装和快速启动:

curl -sL https://run.api7.ai/apisix/quickstart | sh

第 2 步:配置后端服务(上游)

为了将请求路由到Conference API的后端服务,您需要通过Admin API(https://apisix.apache.org/docs/apisix/admin-api/)在Apache APISIX中添加上游服务器来进行配置。请参见如下代码:

curl http://127.0.0.1:9180/apisix/admin/upstreams/1
-X PUT -d '
{
  
"name":"Conferences API upstream",
  
"desc":"Register Conferences API as the upstream",
  
"type":"roundrobin",
  
"scheme":"https",
  
"nodes":{
     
"conferenceapi.azurewebsites.net:443":1
   }
}'

第 3 步:创建API使用者

接下来,我们使用用户名JackApache APISIX中创建一个使用者(即,一个新的发言人),并使用指定的密钥为使用者设置jwt-authhttps://apisix.apache.org/docs/apisix/plugins/jwt-auth/)插件,以便使用者使用JSON Web TokenJWThttps://jwt.io/)进行身份验证。请参见如下代码:

curl http://127.0.0.1:9180/apisix/admin/consumers
-X PUT -d '
{
   
"username": "jack",
   
"plugins": {
       
"jwt-auth": {
           
"key": "user-key",
           
"secret": "my-secret-key"
        }
    }
}'

第 4 步:创建公共端点以生成JWT令牌

您还需要设置一个使用public-apihttps://apisix.apache.org/docs/apisix/plugins/public-api/)插件来生成和签发令牌的新路由。此时,API网关会充当身份提供者服务器(identity provider server)的角色,去验证由使用者Jack的密钥所创建和验证的令牌。当然,身份提供者也可以是诸如Googlehttps://developers.google.com/identity)、Okta(https://www.okta.com/)、Keycloakhttps://www.keycloak.org/)和Ory Hydrahttps://www.ory.sh/hydra/)等任何第三方服务。请参见如下代码:

curl http://127.0.0.1:9180/apisix/admin/routes/jas
-X PUT -d '
{
   
"uri": "/apisix/plugin/jwt/sign",
   
"plugins": {
        "public-api": {}
    }
}'

第 5 步:为API使用者申请一个新的JWT令牌

现在,我们可以使用已创建的公共端点,从API网关处为Jack获取一个新的令牌了。如下curl命令便是使用Jack的凭据生成一个新令牌,并在负载中分配了角色和权限。

curl -G --data-urlencode 'payload={"role":"speaker","permission":"read"}' http://127.0.0.1:9080/apisix/plugin/jwt/sign?key=user-key -i

在运行了上述命令后,您将收到一个新的令牌作为响应。我们暂且将该令牌保存在某处,以便稍后使用它去访问新的API网关端点。

第 6 步:创建新的插件配置

此步骤会涉及到配置APISIX的3个插件,分布是:proxy-rewrite(https://apisix.apache.org/docs/apisix/plugins/proxy-rewrite/)、jwt-authhttps://apisix.apache.org/docs/apisix/plugins/jwt-auth/)和OPAhttps://apisix.apache.org/docs/apisix/plugins/opa/)插件。请参见如下代码:

curl
"http://127.0.0.1:9180/apisix/admin/plugin_configs/1" -X PUT -d '
{
  
"plugins":{
     
"jwt-auth":{
      },
     
"proxy-rewrite":{
        
"host":"conferenceapi.azurewebsites.net"
      }
   }
}'
  • proxy-rewrite插件被配置为将请求全部代理到conferenceapi.azurewebsites.net主机处。
  • OPA身份验证插件被配置为使用在http://localhost:8181/v1/data/rbacExample上运行的OPA策略引擎。此外,APISIX将所有与使用者相关的信息,都发送给OPA。我们需要在OPA的配置部分里添加.rego文件。

第 7 步:为Conference会话创建路由

最后一步是为Conferences API的演讲者会话创建新的路由:

curl
"http://127.0.0.1:9180/apisix/admin/routes/1" -X PUT -d '
{
   
"name":"Conferences API speaker sessions route",
   
"desc":"Create a new route in APISIX for the Conferences
API speaker sessions",
   
"methods": ["GET", "POST"],
   
"uris":
["/speaker/*/topics","/speaker/*/sessions"],
   
"upstream_id":"1",
   
"plugin_config_id":1
}'

上述负载包含了诸如:名称、描述、方法、URI、上游ID和插件配置ID等路由信息。在本例中,路由被配置为处理两个不同URI(/speaker/topics和/speaker/sessions)的GET和POST请求。其中,“upstream_id”字段指定了将处理该路由传入请求的、上游服务的ID,而“plugin_config_id”字段则指定了将用于此路由的、插件配置的ID。

第 8 步:在没有OPA的情况下测试设置

到目前为止,我们已经为APISIX设置了所有必要的配置,以将传入的请求定向到Conference API的各个端点上,并且只允许那些已被授权的API使用者使用。据此,在每次API使用者需要访问端点时,他们都必须提供JWT令牌,以从Conference后端服务中检索到数据。您可以通过点击端点来对此进行验证。在此,我们所请求的域地址是自定义API网关,而不是实际的Conference服务:

curl -i http://127.0.0.1:9080/speaker/1/topics -H
'Authorization: {API_CONSUMER_TOKEN}'

第 9 步:运行OPA服务

接着,我们使用Docker来运行OPA服务,并使用其API来上传我们的策略定义。该API可用于评估各个传入请求的授权策略。

docker run -d --network=apisix-quickstart-net
--name opa -p 8181:8181 openpolicyagent/opa:latest run -s

上述Docker命令启动了一个具有最新版本的OPA镜像容器。它在现有的APISIX网络apisix-quickstart-net上,创建了一个名为OPA,并公开了端口8181的新容器。因此,APISIX可以直接使用地址--[http://opa:8181](http://opa:8181),向OPA发送策略检查请求。注意OPA和APISIX应该运行在同一个Docker网络中。

第 10 步:定义和注册策略

OPA端的下一步是需要定义将用于控制对API资源进行访问的策略。这些策略应定义访问所需的属性(如:哪些用户具有哪些角色)、以及基于这些属性允许或拒绝的权限(如:哪些角色具有哪些权限)。举例而言,在下面的配置中,我们要求OPA检查表user_roles,以找到角色Jack。这些信息是由APISIX内部的input.consumer.username发送的。我们据此通过读取JWT的有效载荷,并从中提取token.payload.permission,来验证使用者的权限。如下注释清楚地描述了这些步骤。

curl -X PUT
'127.0.0.1:8181/v1/policies/rbacExample' \
    -H
'Content-Type: text/plain' \
    -d
'package rbacExample

# Assigning user rolesuser_roles := {
   
"jack": ["speaker"],
   
"bobur":["admin"]
}

# Role permission assignments
role_permissions := {
   
"speaker": [{"permission": "read"}],
   
"admin":  
[{"permission": "read"}, {"permission":
"write"}]
}

# Helper JWT Functions
bearer_token := t {
 t :=
input.request.headers.authorization
}

# Decode the authorization token to get a role and
permission
token = {"payload": payload} {
 [_, payload,
_] := io.jwt.decode(bearer_token)
}

# Logic that implements RBAC
default allow = falseallow {
    # Lookup
the list of roles for the user
    roles :=
user_roles[input.consumer.username]    #
For each role in that list
    r :=
roles[_]    # Lookup the permissions list
for role r
   
permissions := role_permissions[r]   
# For each permission
    p :=
permissions[_]    # Check if the
permission granted to r matches the users request
    p ==
{"permission": token.payload.permission}
}'

步骤 11:使用OPA插件更新现有插件配置

一旦在OPA服务上定义了各项策略,我们就需要更新现有的插件配置,以便路由去使用OPA插件。如下代码段所示,我们需要在OPA插件的policy属性中来指定。

curl
"http://127.0.0.1:9180/apisix/admin/plugin_configs/1" -X PATCH -d '
{
  
"plugins":{
     
"opa":{
        
"host":"http://opa:8181",
        
"policy":"rbacExample",
        
"with_consumer":true
      }
   }
}'

第 12 步:使用OPA测试设置

至此,我们可以使用OPA策略对所有设置进行测试了。一旦您运行如下curl命令去访问API网关端点,它会首先在身份验证过程中检查JWT令牌,然后在授权过程中,将使用者和JWT令牌的数据发送到OPA处,以验证角色和权限。显然,任何没有JWT令牌,或不具备已允许角色的请求,都会被拒绝掉。

curl -i http://127.0.0.1:9080/speaker/1/topics -H
'Authorization: {API_CONSUMER_TOKEN}'

小结

在本文中,我们通过自定义一个简单的策略逻辑,展示了如何根据API使用者的角色和权限,来允许或禁止API资源的访问。同时,我们也演示了如何从APISIX发送的JWT令牌负载、或使用者的对象中,提取策略文件里与API使用者相关的信息,以最终实现OPA和Apache APISIX的RBAC效果。

译者介绍

陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。

原文标题:RBAC With API Gateway and Open Policy Agent (OPA) ,作者:Bobur Umurzokov

链接:https://dzone.com/articles/rbac-with-api-gateway-and-open-policy-agentopa

责任编辑:庞桂玉 来源: 51CTO
开源API
相关推荐
Zadig 基于 OPA 实现 RBAC ABAC 权限管理技术方案详解
开放策略代理(OpenPolicyAgent,发音为“ohpa”)是一个开放源码的通用策略引擎,它统一了跨技术栈的策略实施。OPA提供了一种高级声明性语言rego,允许您将策略指定为代码和简单的API,以加载软件中的策略决策。

2022-07-28 10:46:16

开放策略代理引擎
如何使用OPA实现多云策略流程可移植性
随着多云战略成为完全主流,公司和开发团队必须弄清楚如何在云环境中创建一致的方法。多云本身无处不在:在云中的公司中,整整93%都拥有多云战略——这意味着他们使用多个公共云供应商,如亚马逊网络服务、谷歌云平台或微软Azure。此外,87%或这些公司拥有混合云战略,混合公共云和本地云环境。

2021-11-19 11:53:42

云计算混合云Kubernetes
使用开源 API 网关实现可伸缩 API
本文介绍一种设计风格,但只要你理解其中的重点内容,它就能解决你的相关问题。

2023-06-26 18:13:56

开源API
Policy as Code之OPA实现
OPA主要功能是将策略决策与应用程序的业务逻辑分离,将策略看作一组规则。请求被发送到引擎后,引擎会根据规则来进行决策。

2023-07-13 00:12:50

OPA代码
微服务API网关限流熔断实现关键逻辑思路
今天准备谈下微服务架构和API网关中的限流熔断,当前可以看到对于SpringCloud框架本身也提供了Hystrix,主流的开源API网关产品类似Kong网关本身也包括了限流熔断能力。

2020-07-28 08:32:57

微服务API网关熔断
微服务API网关限流熔断实现关键逻辑思路
今天准备谈下微服务架构和API网关中的限流熔断,当前可以看到对于SpringCloud框架本身也提供了Hystrix,主流的开源API网关产品类似Kong网关本身也包括了限流熔断能力。

2022-01-17 10:55:50

微服务API网关
微服务入门:Openresty实现API网关
如果大家清楚“网关”这个概念,那就很容易理解“API网关“,即所有API的入口。从面向对象设计的角度看,它与外观模式类似,封装了系统内部架构。

2019-09-24 08:44:09

OpenrestyAPI网关
如何设计实现一个轻量的开放API网关
随着业务的发展,所对接的第三方越来越多,各个业务系统面临着同样一个问题:如何让第三方安全快速接入.此时有一个集验签、鉴权、限流、降级等功能于一身的API网关服务变得尤为重要.

2019-11-26 09:42:36

代码开发API
使用 Gatekeeper 进行 OPA 策略管理
Gatekeeper(v3.0)准入控制器集成了OPAConstraintFramework,以执行基于CRD的策略,并允许声明式配置的策略可靠地共享,使用kubebuilder构建,它提供了验证和修改准入控制和审计功能。

2022-03-28 07:33:13

GatekeeperOPA 策略管理CRD
如何免费访问使用Gemini API
学习如何使用简单的PythonAPI将高级的AI多模态模型集成到项目中。我们在本教程中将学习GeminiAPI以及如何在机器上设置它。我们还将探究各种PythonAPI函数,包括文本生成和图像理解。

2024-02-18 08:00:00

PythonAI多模态模型API
什么是API网关
本文通过分析客户端向服务器发送一个HTTP请求的经典流程,讲解了网关及其主要作用。

2023-09-07 10:56:36

不用网关如何实现LoRa组网?
LoRa是一种基于扩频技术的超远距离无线传输方案,属于物联网通信技术之一,它的名字来源于“LongRange”的缩写,从名字就能看出来,它的最大特点就是远距离传输。

2018-07-04 11:19:19

通信LoRa组网
程序员笔记 | API网关如何实现对服务下线的实时感知
上篇文章《Eureka缓存机制》介绍了Eureka的缓存机制,相信大家对Eureka有了进一步的了解,本文将详细介绍API网关如何实现服务下线的实时感知。

2019-06-04 14:02:44

程序员技能开发者
开源API网关Kong基本介绍安装验证
今天准备介绍下开源API网关Kong,在Gtihub搜索API网关类的开源产品,可以看到Kong网关常年都是排第一的位置,而且当前很多都有一定研发能力的企业在API网关产品选型的时候基本也会选择Kong网关,并基于Kong网关进行二次开发和定制。

2020-12-21 13:13:35

API网关Kong代码
如何使用LangChainOpenAI API分析文档?
借助少许代码和一些实用的库,您就能构建一个功能强大的文档分析工具。

2023-11-23 08:00:00

OpenAILangChain
如何将Emissary Ingress与OPA集成
本文将介绍如何将EmissaryIngress与OPA集成以进行外部授权。

2022-08-19 08:00:00

OPA集成Kubernetes集群
什么是蓝牙网关如何使用
由于蓝牙技术已成为一种可靠、高效的短距离无线通信手段,因此得到了广泛的采用。蓝牙网关利用蓝牙的优势,充当关键桥梁,将蓝牙的功能和应用扩展到许多行业。

2024-04-10 10:11:14

蓝牙蓝牙网关
微服务五种开源API网关实现组件对比
微服务架构是当下比较流行的一种架构风格,它是一种以业务功能组织的服务集合,可以持续交付、快速部署、更好的可扩展性和容错能力,而且还使组织更容易去尝试新技术栈。微服务具有几个关键特征。

2019-04-02 14:20:14

微服务API网关
大公司为什么都有API网关?聊聊API网关的作用
企业需要将自身数据、能力等作为开发平台向外开放,通常会以rest的方式向外提供,最好的例子就是淘宝开放平台、腾讯公司的QQ开发平台、微信开放平台。

2020-07-07 07:54:01

API网关微服务
Kubernetes RBAC 101: 如何使用辅助命令加强安全控制
经过对这些强大工具的探索,我们不仅加深了对KubernetesRBAC管理的理解,还获得了加强集群安全的新视角。从kubectlauthcani​的基本权限检查到kubectlwhocan​的深入分析,再到kubectlrolesum​和rbactool的全面视图,这些工具共同为我们构筑了一个更加透明、健壮的Kubernetes环境。

2023-11-20 20:45:38

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服