如何检查REGO中的对象数组,以检查用户是否具有权限自负?

编程问答 2022-06-04

问题描述

我正在尝试根据给定的主题和操作来检查用户是否具有一定的许可权,可惜我无法使其正常工作,这是REGO文件

package monolith.tiene_permiso

default permitir = false

permitir {
    es_admin
}

permitir {
    # Find grants for the user.
    some grant
    usuario_tiene_permitido[grant]

    # Check if the grant permits the action.
    input.permiso.accion == grant.accion
    input.permiso.sujeto == grant.sujeto
}

es_admin {
    some key
    input.permisos[_][key]
    key == data.admin_name
}

usuario_tiene_permitido[accion] {
    some j

    accion := input.permisos[_][input.permiso.sujeto][j]
}

这是单元测试,它反映了Go代码如何提供输入:

package monolith.tiene_permiso

admin_name = {"admin_name": "admin"}

test_permiso_autorizado {
    permitir with input as {
        "permiso": {"sujeto": "x","accion": "a"},"permisos": [{"x": ["a"]}],}
         with data.admin_name as admin_name
}

好吧,这是结果:

FAILURES
--------------------------------------------------------------------------------
data.monolith.tiene_permiso.test_permiso_autorizado: FAIL (293.209µs)

  query:1                        Enter data.monolith.tiene_permiso.test_permiso_autorizado = _
  query:1                        | Eval data.monolith.tiene_permiso.test_permiso_autorizado = _
  query:1                        | Index data.monolith.tiene_permiso.test_permiso_autorizado = _ (matched 1 rule)
  tiene_permiso_test.rego:5      | Enter data.monolith.tiene_permiso.test_permiso_autorizado
  tiene_permiso_test.rego:10     | | Eval __local3__ = data.monolith.tiene_permiso.admin_name
  tiene_permiso_test.rego:10     | | Index __local3__ = data.monolith.tiene_permiso.admin_name (matched 1 rule)
  tiene_permiso_test.rego:3      | | Enter data.monolith.tiene_permiso.admin_name
  tiene_permiso_test.rego:3      | | | Eval true
  tiene_permiso_test.rego:3      | | | Exit data.monolith.tiene_permiso.admin_name
  tiene_permiso_test.rego:6      | | Eval data.monolith.tiene_permiso.permitir with input as {"permiso": {"accion": "a","sujeto": "x"},"permisos": [{"x": ["a"]}]} with data.admin_name as __local3__
  tiene_permiso_test.rego:6      | | Index data.monolith.tiene_permiso.permitir with input as {"permiso": {"accion": "a","permisos": [{"x": ["a"]}]} with data.admin_name as __local3__ matched 2 rules)
  tiene_permiso.rego:5           | | Enter data.monolith.tiene_permiso.permitir
  tiene_permiso.rego:6           | | | Eval data.monolith.tiene_permiso.es_admin
  tiene_permiso.rego:6           | | | Index data.monolith.tiene_permiso.es_admin (matched 1 rule)
  tiene_permiso.rego:19          | | | Enter data.monolith.tiene_permiso.es_admin
  tiene_permiso.rego:20          | | | | Eval input.permisos[_][key] = data.admin_name
  tiene_permiso.rego:20          | | | | Fail input.permisos[_][key] = data.admin_name
  tiene_permiso.rego:6           | | | Fail data.monolith.tiene_permiso.es_admin
  tiene_permiso.rego:9           | | Enter data.monolith.tiene_permiso.permitir
  tiene_permiso.rego:12          | | | Eval data.monolith.tiene_permiso.usuario_tiene_permitido[grant]
  tiene_permiso.rego:12          | | | Index data.monolith.tiene_permiso.usuario_tiene_permitido[__local0__] (matched 1 rule)
  tiene_permiso.rego:23          | | | Enter data.monolith.tiene_permiso.usuario_tiene_permitido
  tiene_permiso.rego:26          | | | | Eval __local4__ = input.permiso.sujeto
  tiene_permiso.rego:26          | | | | Eval accion = input.permisos[_][__local4__][j]
  tiene_permiso.rego:23          | | | | Exit data.monolith.tiene_permiso.usuario_tiene_permitido
  tiene_permiso.rego:15          | | | Eval input.permiso.accion = grant.accion
  tiene_permiso.rego:15          | | | Fail input.permiso.accion = grant.accion
  tiene_permiso.rego:12          | | | Redo data.monolith.tiene_permiso.usuario_tiene_permitido[grant]
  tiene_permiso.rego:23          | | | Redo data.monolith.tiene_permiso.usuario_tiene_permitido
  tiene_permiso.rego:26          | | | | Redo accion = input.permisos[_][__local4__][j]
  tiene_permiso.rego:26          | | | | Redo __local4__ = input.permiso.sujeto
  tiene_permiso.rego:3           | | Enter data.monolith.tiene_permiso.permitir
  tiene_permiso.rego:3           | | | Eval true
  tiene_permiso.rego:3           | | | Exit data.monolith.tiene_permiso.permitir
  tiene_permiso.rego:3           | | Redo data.monolith.tiene_permiso.permitir
  tiene_permiso.rego:3           | | | Redo true
  tiene_permiso_test.rego:6      | | Fail data.monolith.tiene_permiso.permitir with input as {"permiso": {"accion": "a","permisos": [{"x": ["a"]}]} with data.admin_name as __local3__
  tiene_permiso_test.rego:10     | | Redo __local3__ = data.monolith.tiene_permiso.admin_name
  tiene_permiso_test.rego:3      | | Redo data.monolith.tiene_permiso.admin_name
  tiene_permiso_test.rego:3      | | | Redo true
  query:1                        | Fail data.monolith.tiene_permiso.test_permiso_autorizado = _

SUMMARY
--------------------------------------------------------------------------------
data.monolith.tiene_permiso.test_permiso_autorizado: FAIL (293.209µs)
--------------------------------------------------------------------------------
FAIL: 1/1

我在做什么错?以及如何更改代码以实现所需的功能

解决方法

permitir规则在此行失败:

input.permiso.accion == grant.accion

跟踪报告了此情况(尽管有很多其他噪音):

  tiene_permiso.rego:15          | | | Eval input.permiso.accion = grant.accion
  tiene_permiso.rego:15          | | | Fail input.permiso.accion = grant.accion

失败的原因是usuario_tiene_permitido生成了一组表示为字符串的动作,即grant是一个字符串,不是包含主题和动作的对象。如果使用您提供的输入评估usuario_tiene_permitido,您将看到此信息。

您可以按以下方式重构permitir规则:

permitir {
    # Find grants for the user.
    some grant
    usuario_tiene_permitido[grant]
    input.permiso.accion == grant
}
open-policy-agentrego