OPA/Rego “策略即代码”在 ABP vNext 的统一授权落地

🔐 OPA/Rego “策略即代码”在 ABP vNext 的统一授权落地

---

---

0) 摘要（TL;DR）🚀

• PDP/PEP 分离：OPA 负责策略决策（PDP），ABP/网关负责拦截执行（PEP）；开启 Decision Logs 后，Data API 响应会带 decision_id，可与应用审计关联。
• 版本锚点：以 /v1/status 中 bundles.<name>.active_revision 作为灰度/回滚与缓存失效的唯一锚点；通过后台轮询获取，不走热路径。
• 健康/可观测：/health/ready|/health/live 与 ?bundles&plugins，配合 /metrics 与状态上报形成 SLO。
• Compile→SQL：使用 Compile API + Accept: application/vnd.opa.sql.postgresql+json 生成 SQL 过滤；也支持 multitarget。
• .NET 韧性：AddStandardResilienceHandler 管控总超时/重试/熔断/限流；将 HttpClient.Timeout = Timeout.InfiniteTimeSpan，避免与总超时双重冲突。
• 缓存注意：仅当配置了 SizeLimit 才给条目设置 Size；否则不要设置，避免异常。
• ABP 集成点：自定义 AuthorizationHandler 与 IAuthorizationPolicyProvider（只会用一个 Provider，需提供默认策略与回退）。

---

1) 目标架构与部署形态 🧩

• Sidecar 优先（本地环回，低时延高可用）
• Envoy ext_authz（可选）入口统一鉴权，未授权直接 403，元数据可透传后端

---

2) 从请求到决策的调用序列 🧭