CNCF 技术监督委员会(TOC)已正式投票通过,将 OpenFGA 纳入 CNCF 孵化阶段项目。
作为一款专注于解决现代应用中复杂访问控制难题的授权引擎,OpenFGA 受到 Google Zanzibar 全局权限系统的启发,采用基于关系的访问控制模型(ReBAC)。通过定义用户与资源之间的关联关系来管理权限(例如谁可以编辑某份文档),开发者能够更灵活地实现细粒度授权。OpenFGA 以独立服务形式提供 API 接口和多语言 SDK,将授权逻辑从核心业务代码中剥离,实现了关注点分离。这一设计不仅提升了开发效率,也增强了安全性、一致性与可审计性,尤其适用于分布式架构下的权限统一管理。
该项目最初由 Okta 员工团队发起,并作为 Auth0 FGA 商业产品的底层引擎。自 2022 年 9 月进入 CNCF Sandbox 后,社区活跃度持续增长,已有数百家企业部署使用并积极参与贡献。目前取得的关键进展包括:
37 家公司公开确认在生产环境中运行 OpenFGA
来自 Grafana Labs 和 GitPod 的工程师加入成为官方维护者
获邀在 2025 年 KubeCon + CloudNativeCon 欧洲站维护者专场分享项目发展
自 2023 年 4 月起定期举办月度社区会议
-
多项提升开发者体验的功能上线:
- 发布 Python 与 Java SDK
- 支持 VS Code 和 IntelliJ 插件
- 推出用于模型验证的命令行工具(CLI)
- Maurice Ackel 贡献了 Terraform Provider
过去一年完成了缓存机制重构及多项性能调优
新增 ListObjects 与 ListUsers 接口,便于高效查询主体与资源的关系
-
深度集成多个 CNCF 生态项目:
- 使用 OpenTelemetry 实现分布式追踪
- 通过 Helm 简化部署流程
- 利用 Prometheus 收集指标数据
- 配套 Grafana 仪表盘实现可视化监控
- 在 ArtifactHub 上发布 Helm chart
本质上,OpenFGA 是一个专为高性能授权场景设计的数据库系统,因此性能优化始终是核心目标之一。未来发展方向包括:
- 优化 SDK 维护流程,降低社区参与门槛
- 推出 Ruby、Rust 和 PHP 版本的官方 SDK
- 支持新兴的 AuthZen 标准
- 开源 OpenFGA Playground 工具,提供图形化交互界面
- 加强可观测能力,完善日志与监控支持
- 引入流式 API 接口以进一步提升响应效率
- 改进错误处理机制,增加对写冲突的可配置策略
了解更多:https://www.php.cn/link/e889e352e2a432ebbc0d11b3329dc723
源码地址:点击下载
