request_definition
pola parameter pengecekan otorisasi.policy_definition
pola otorisasi yang terdaftar.role_definition
pola role atau group yang terdaftar.policy_effect
kondisi untuk menentukan diizinkan atau tidak.matchers
kondisi yang digunakan untuk memenuhi kondisi pada policy effect.
[request_definition]
r = sub, obj, act
[policy_definition]
p = sub, obj, act
[role_definition]
g = _, _
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act
p
untuk mendaftarkan permission sesuai pola policy pada model.g
untuk mendaftarkan role atau group sesuai pola role pada model.
Policy bisa digunakan untuk memberi permission pada role, kemudian user dapat dimasukkan pada role tersebut.
Permission pada role tertentu dapat diberikan ke role lainnya, melalui
g, penerima, pemberi
.
p, admin, users, write
p, user, users, read
g, admin, user
g, alice, admin
g, bob, user