必须通过http调用本地opa服务执行rego策略,c#不可直接加载.rego文件;需用opa run --server加载策略目录,httpclient发送含input字段的json请求,路径校验等安全逻辑须在c#层完成。
OPA 本地执行需绕过 opa eval,C# 无法直接加载 .rego 文件
Rego 策略不是可被 C# 直接引用或编译的代码,OPA 本身不提供 .NET 原生 SDK。你不能像读取 JSON 那样 File.ReadAllText("policy.rego") 然后“执行”它——Rego 必须经 OPA 引擎解析、编译、求值,而该引擎是用 Go 写的。
可行路径只有一条:把 OPA 当作外部服务(HTTP)或子进程调用。本地文件策略必须先通过 opa build 打包为 .bundle,或直接用 opa run --server 加载目录,再由 C# 发 HTTP 请求交互。
- 别试图用
Process.Start("opa", "eval ...")在生产环境做授权——启动开销大、并发差、无连接池、策略热更新困难 -
opa eval -i input.json -d policy.rego 'data.auth.allow'适合调试,但每次调用都 fork 新进程,吞吐撑不过 50 QPS - 若策略含
import data.servers这类跨文件引用,单独传policy.rego会报undefined ref: data.servers错误
推荐方案:用 opa run --server 启动本地服务并加载策略目录
这是最贴近“加载和执行”的实际做法:把策略文件放目录里,启动 OPA 服务,C# 用 HttpClient 发 POST 到 http://localhost:8181/v1/data/auth/allow。
假设策略文件结构如下:
auth/ ├── policy.rego └── data.json
其中 policy.rego 定义 package auth; allow = ...,data.json 是静态策略数据(如角色权限映射)。
- 启动命令:
opa run --server --set=services.local.url=http://localhost:8181 --set=bundles.local.resource=auth/ auth/ - 策略修改后无需重启,OPA 会自动监听文件变化并重载
- C# 请求体必须是 JSON 对象,含
input字段(例如{"input": {"user": "alice", "path": "/report.pdf"}}) - 响应格式固定:
{"result": true}或{"result": false};若策略报错,返回 400 +"error": "rego_type_error"
HttpClient 调用时必设 Content-Type: application/json,且输入结构要严格匹配 Rego 的 input
Rego 中写的 input.user,就要求 C# 发送的 JSON 里必须有 "user" 字段;字段名大小写、嵌套层级、类型(字符串 vs 数字)全要对齐,否则结果恒为 false 或直接报错。
常见失败现象:{"result": null} 或空响应 —— 多半是 JSON 格式非法,或 input 缺失外层包裹。
- 正确示例(C#):
var json = JsonSerializer.Serialize(new { input = new { user = "bob", path = "/config.yaml" } }); - 错误写法:
JsonSerializer.Serialize(new { user = "...", path = "..." })(漏了input外层对象) - 别用
FormUrlEncodedContent,OPA 只认application/json - 生产环境务必复用
HttpClient实例,避免 socket 耗尽
文件访问授权策略中,input.path 的路径规范化必须在 C# 层做完
Rego 不处理路径遍历(../)、符号链接、大小写敏感等 OS 层逻辑。如果你传 input.path = "../../etc/passwd",策略里写 startswith(input.path, "/safe/") 会直接失效。
安全边界必须由 C# 控制:调用 Path.GetFullPath() + 白名单根路径比对,再把净化后的路径传给 OPA。
- 错误做法:直接把用户传来的原始
filepath参数塞进input - 正确做法:
string safePath = Path.GetFullPath(filepath);<br>if (!safePath.StartsWith(allowedRoot, StringComparison.Ordinal)) throw new UnauthorizedAccessException();<br>// 再把 safePath 传给 OPA
- Rego 只负责“这个已知安全的路径,该用户是否有权读”,不负责“这个字符串是不是路径”
路径校验和策略执行是两层事,混在一起写,要么留漏洞,要么策略变得不可测。
