[英]how do I check an array of objects in REGO to check if a user has permissions conceit?
我正在尝试检查用户是否有特定的权限自负给一个主题和检查的动作,遗憾的是我无法使它工作,这是 REGO 文件:
package monolith.tiene_permiso
default permitir = false
permitir {
es_admin
}
permitir {
# Find grants for the user.
some grant
usuario_tiene_permitido[grant]
# Check if the grant permits the action.
input.permiso.accion == grant.accion
input.permiso.sujeto == grant.sujeto
}
es_admin {
some key
input.permisos[_][key]
key == data.admin_name
}
usuario_tiene_permitido[accion] {
some j
accion := input.permisos[_][input.permiso.sujeto][j]
}
这是单元测试,它反映了 Go 代码如何提供输入:
package monolith.tiene_permiso
admin_name = {"admin_name": "admin"}
test_permiso_autorizado {
permitir with input as {
"permiso": {"sujeto": "x", "accion": "a"},
"permisos": [{"x": ["a"]}],
}
with data.admin_name as admin_name
}
好吧,这是结果:
FAILURES
--------------------------------------------------------------------------------
data.monolith.tiene_permiso.test_permiso_autorizado: FAIL (293.209µs)
query:1 Enter data.monolith.tiene_permiso.test_permiso_autorizado = _
query:1 | Eval data.monolith.tiene_permiso.test_permiso_autorizado = _
query:1 | Index data.monolith.tiene_permiso.test_permiso_autorizado = _ (matched 1 rule)
tiene_permiso_test.rego:5 | Enter data.monolith.tiene_permiso.test_permiso_autorizado
tiene_permiso_test.rego:10 | | Eval __local3__ = data.monolith.tiene_permiso.admin_name
tiene_permiso_test.rego:10 | | Index __local3__ = data.monolith.tiene_permiso.admin_name (matched 1 rule)
tiene_permiso_test.rego:3 | | Enter data.monolith.tiene_permiso.admin_name
tiene_permiso_test.rego:3 | | | Eval true
tiene_permiso_test.rego:3 | | | Exit data.monolith.tiene_permiso.admin_name
tiene_permiso_test.rego:6 | | Eval data.monolith.tiene_permiso.permitir with input as {"permiso": {"accion": "a", "sujeto": "x"}, "permisos": [{"x": ["a"]}]} with data.admin_name as __local3__
tiene_permiso_test.rego:6 | | Index data.monolith.tiene_permiso.permitir with input as {"permiso": {"accion": "a", "sujeto": "x"}, "permisos": [{"x": ["a"]}]} with data.admin_name as __local3__ matched 2 rules)
tiene_permiso.rego:5 | | Enter data.monolith.tiene_permiso.permitir
tiene_permiso.rego:6 | | | Eval data.monolith.tiene_permiso.es_admin
tiene_permiso.rego:6 | | | Index data.monolith.tiene_permiso.es_admin (matched 1 rule)
tiene_permiso.rego:19 | | | Enter data.monolith.tiene_permiso.es_admin
tiene_permiso.rego:20 | | | | Eval input.permisos[_][key] = data.admin_name
tiene_permiso.rego:20 | | | | Fail input.permisos[_][key] = data.admin_name
tiene_permiso.rego:6 | | | Fail data.monolith.tiene_permiso.es_admin
tiene_permiso.rego:9 | | Enter data.monolith.tiene_permiso.permitir
tiene_permiso.rego:12 | | | Eval data.monolith.tiene_permiso.usuario_tiene_permitido[grant]
tiene_permiso.rego:12 | | | Index data.monolith.tiene_permiso.usuario_tiene_permitido[__local0__] (matched 1 rule)
tiene_permiso.rego:23 | | | Enter data.monolith.tiene_permiso.usuario_tiene_permitido
tiene_permiso.rego:26 | | | | Eval __local4__ = input.permiso.sujeto
tiene_permiso.rego:26 | | | | Eval accion = input.permisos[_][__local4__][j]
tiene_permiso.rego:23 | | | | Exit data.monolith.tiene_permiso.usuario_tiene_permitido
tiene_permiso.rego:15 | | | Eval input.permiso.accion = grant.accion
tiene_permiso.rego:15 | | | Fail input.permiso.accion = grant.accion
tiene_permiso.rego:12 | | | Redo data.monolith.tiene_permiso.usuario_tiene_permitido[grant]
tiene_permiso.rego:23 | | | Redo data.monolith.tiene_permiso.usuario_tiene_permitido
tiene_permiso.rego:26 | | | | Redo accion = input.permisos[_][__local4__][j]
tiene_permiso.rego:26 | | | | Redo __local4__ = input.permiso.sujeto
tiene_permiso.rego:3 | | Enter data.monolith.tiene_permiso.permitir
tiene_permiso.rego:3 | | | Eval true
tiene_permiso.rego:3 | | | Exit data.monolith.tiene_permiso.permitir
tiene_permiso.rego:3 | | Redo data.monolith.tiene_permiso.permitir
tiene_permiso.rego:3 | | | Redo true
tiene_permiso_test.rego:6 | | Fail data.monolith.tiene_permiso.permitir with input as {"permiso": {"accion": "a", "sujeto": "x"}, "permisos": [{"x": ["a"]}]} with data.admin_name as __local3__
tiene_permiso_test.rego:10 | | Redo __local3__ = data.monolith.tiene_permiso.admin_name
tiene_permiso_test.rego:3 | | Redo data.monolith.tiene_permiso.admin_name
tiene_permiso_test.rego:3 | | | Redo true
query:1 | Fail data.monolith.tiene_permiso.test_permiso_autorizado = _
SUMMARY
--------------------------------------------------------------------------------
data.monolith.tiene_permiso.test_permiso_autorizado: FAIL (293.209µs)
--------------------------------------------------------------------------------
FAIL: 1/1
我究竟做错了什么? 以及如何更改我的代码来实现我的需要?
permitir
规则在这条线上失败:
input.permiso.accion == grant.accion
跟踪报告了这一点(尽管有很多其他噪音):
tiene_permiso.rego:15 | | | Eval input.permiso.accion = grant.accion
tiene_permiso.rego:15 | | | Fail input.permiso.accion = grant.accion
它失败的原因是usuario_tiene_permitido
生成一组表示为字符串的动作,即, grant
是一个字符串,而不是包含主体和动作的对象。 如果您使用您提供的输入评估usuario_tiene_permitido
,您将看到这一点。
您可以按如下方式重构permitir
规则:
permitir {
# Find grants for the user.
some grant
usuario_tiene_permitido[grant]
input.permiso.accion == grant
}
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.