如何动态更新OPA策略

Question

我刚接触OPA (开放策略代理)，正在尝试使用OPA作为授权的集中化服务。

我有几个使用Spring boot构建的微服务，我不想使用spring安全来保护我的资源/控制器，因为这将需要使用Spring安全注释注释我的控制器，任何对资源和角色映射的更改都会导致部署服务，这是使用OPA的动机，因为我的资源和角色映射保存在DB (JSON格式)中，并且可以动态配置/更改，所以我如何更新OPA策略，我遇到了捆绑API，但这需要将策略(rego文件)打包为tar文件，OPA将定期提取它。那么如何将JSON (资源到角色映射)转换为rego文件呢？

Answer 1

你不需要这么做。捆绑包可能既包含.rego文件，也包含用于数据的.json文件，所以您可能希望在构建捆绑包时从数据源获取JSON数据，并在更新时发布该数据，或者只是在某个固定的时间间隔发布。有关详细信息，请参阅bundle file format上的文档。