238 lines
7.1 KiB
Plaintext
238 lines
7.1 KiB
Plaintext
---
|
||
title: Tilladelser
|
||
description: Kontroller, hvilke handlinger der kræver godkendelse for at køre.
|
||
---
|
||
|
||
OpenCode bruger `permission`-konfigurationen til at bestemme, om en given handling skal køre automatisk, bede dig om eller blokeres.
|
||
|
||
Fra `v1.1.1` er den ældre `tools` booleske konfiguration forældet og er blevet flettet ind i `permission`. Den gamle `tools`-konfiguration er stadig understøttet for bagudkompatibilitet.
|
||
|
||
---
|
||
|
||
## Handlinger
|
||
|
||
Hver tilladelsesregel løses til en af:
|
||
|
||
- `"allow"` — køre uden godkendelse
|
||
- `"ask"` — prompt om godkendelse
|
||
- `"deny"` — bloker handlingen
|
||
|
||
---
|
||
|
||
## Konfiguration
|
||
|
||
Du kan indstille tilladelser globalt (med `*`) og tilsidesætte specifikke værktøjer.
|
||
|
||
```json title="opencode.json"
|
||
{
|
||
"$schema": "https://opencode.ai/config.json",
|
||
"permission": {
|
||
"*": "ask",
|
||
"bash": "allow",
|
||
"edit": "deny"
|
||
}
|
||
}
|
||
```
|
||
|
||
Du kan også indstille alle tilladelser på én gang:
|
||
|
||
```json title="opencode.json"
|
||
{
|
||
"$schema": "https://opencode.ai/config.json",
|
||
"permission": "allow"
|
||
}
|
||
```
|
||
|
||
---
|
||
|
||
## Granulære regler (objektsyntaks)
|
||
|
||
For de fleste tilladelser kan du bruge et objekt til at anvende forskellige handlinger baseret på værktøjsinputtet.
|
||
|
||
```json title="opencode.json"
|
||
{
|
||
"$schema": "https://opencode.ai/config.json",
|
||
"permission": {
|
||
"bash": {
|
||
"*": "ask",
|
||
"git *": "allow",
|
||
"npm *": "allow",
|
||
"rm *": "deny",
|
||
"grep *": "allow"
|
||
},
|
||
"edit": {
|
||
"*": "deny",
|
||
"packages/web/src/content/docs/*.mdx": "allow"
|
||
}
|
||
}
|
||
}
|
||
```
|
||
|
||
Regler evalueres efter mønstermatch, hvor den **sidste matchende regel vinder**. Et almindeligt mønster er at sætte catch-all `"*"` reglen først og mere specifikke regler efter den.
|
||
|
||
### Jokertegn
|
||
|
||
Tilladelsesmønstre bruger simpel jokertegn-matchning:
|
||
|
||
- `*` matcher nul eller flere af et hvilket som helst tegn
|
||
- `?` matcher nøjagtigt ét tegn
|
||
- Alle andre karakterer matcher bogstaveligt talt
|
||
|
||
### Udvidelse af hjemmemappe
|
||
|
||
Du kan bruge `~` eller `$HOME` i starten af et mønster til at referere til din hjemmemappe. Dette er især nyttigt for [`external_directory`](#external-directories) regler.
|
||
|
||
- `~/projects/*` -> `/Users/username/projects/*`
|
||
- `$HOME/projects/*` -> `/Users/username/projects/*`
|
||
- `~` -> `/Users/username`
|
||
|
||
### Eksterne mapper
|
||
|
||
Brug `external_directory` til at tillade værktøjsopkald, der berører stier uden for den arbejdsmappe, hvor OpenCode blev startet. Dette gælder for ethvert værktøj, der tager en sti som input (for eksempel `read`, `edit`, `list`, `glob`, `grep` og mange `bash` kommandoer).
|
||
|
||
Hjemmeudvidelse (som `~/...`) påvirker kun, hvordan et mønster skrives. Det gør ikke en ekstern sti til en del af det aktuelle arbejdsområde, så stier uden for arbejdsbiblioteket skal stadig være tilladt via `external_directory`.
|
||
|
||
For eksempel giver dette adgang til alt under `~/projects/personal/`:
|
||
|
||
```json title="opencode.json"
|
||
{
|
||
"$schema": "https://opencode.ai/config.json",
|
||
"permission": {
|
||
"external_directory": {
|
||
"~/projects/personal/**": "allow"
|
||
}
|
||
}
|
||
}
|
||
```
|
||
|
||
Enhver mappe, der er tilladt her, arver de samme standarder som det aktuelle arbejdsområde. Siden [`read` defaults to `allow`](#defaults), er læsninger også tilladt for poster under `external_directory`, medmindre de tilsidesættes. Tilføj eksplicitte regler, når et værktøj skal begrænses i disse stier, såsom blokering af redigeringer, mens læsninger bevares:
|
||
|
||
```json title="opencode.json"
|
||
{
|
||
"$schema": "https://opencode.ai/config.json",
|
||
"permission": {
|
||
"external_directory": {
|
||
"~/projects/personal/**": "allow"
|
||
},
|
||
"edit": {
|
||
"~/projects/personal/**": "deny"
|
||
}
|
||
}
|
||
}
|
||
```
|
||
|
||
Hold listen fokuseret på betroede stier, og lag ekstra tillad eller afvis regler efter behov for andre værktøjer (for eksempel `bash`).
|
||
|
||
---
|
||
|
||
## Tilgængelige tilladelser
|
||
|
||
OpenCode tilladelser indtastes efter værktøjsnavn plus et par sikkerhedsafskærmninger:
|
||
|
||
- `read` — læser en fil (matcher filstien)
|
||
- `edit` — alle filændringer (dækker `edit`, `write`, `patch`, `multiedit`)
|
||
- `glob` — fil-globing (matcher glob-mønsteret)
|
||
- `grep` — indholdssøgning (matcher regex-mønsteret)
|
||
- `list` — viser filer i en mappe (matcher mappestien)
|
||
- `bash` — kører shell-kommandoer (matcher parsede kommandoer som `git status --porcelain`)
|
||
- `task` — lancering af underagenter (matcher underagenttypen)
|
||
- `skill` — indlæsning af en færdighed (matcher færdighedsnavnet)
|
||
- `lsp` — kører LSP forespørgsler (i øjeblikket ikke-granulære)
|
||
- `todoread`, `todowrite` — reading/updating todo-listen
|
||
- `webfetch` — henter en URL (matcher URL)
|
||
- `websearch`, `codesearch` — web/code søgning (matcher forespørgslen)
|
||
- `external_directory` — udløses, når et værktøj berører stier uden for projektets arbejdsmappe
|
||
- `doom_loop` — udløses, når det samme værktøjskald gentages 3 gange med identisk input
|
||
|
||
---
|
||
|
||
## Standarder
|
||
|
||
Hvis du ikke angiver noget, starter OpenCode fra tilladelige standardindstillinger:
|
||
|
||
- De fleste tilladelser er som standard `"allow"`.
|
||
- `doom_loop` og `external_directory` er som standard `"ask"`.
|
||
- `read` er `"allow"`, men `.env` filer nægtes som standard:
|
||
|
||
```json title="opencode.json"
|
||
{
|
||
"permission": {
|
||
"read": {
|
||
"*": "allow",
|
||
"*.env": "deny",
|
||
"*.env.*": "deny",
|
||
"*.env.example": "allow"
|
||
}
|
||
}
|
||
}
|
||
```
|
||
|
||
---
|
||
|
||
## Hvad "Spørg" gør
|
||
|
||
Når OpenCode beder om godkendelse, tilbyder brugergrænsefladen tre resultater:
|
||
|
||
- `once` — godkend netop denne anmodning
|
||
- `always` — godkend fremtidige anmodninger, der matcher de foreslåede mønstre (for resten af den nuværende OpenCode session)
|
||
- `reject` — afvis anmodningen
|
||
|
||
Sættet af mønstre, som `always` ville godkende, leveres af værktøjet (f.eks. hvidlister bash-godkendelser typisk et sikkert kommandopræfiks som `git status*`).
|
||
|
||
---
|
||
|
||
## Agenter
|
||
|
||
Du kan tilsidesætte tilladelser pr. agent. Agenttilladelser flettes med den globale konfiguration, og agentregler har forrang. [Learn more](/docs/agents#permissions) om agenttilladelser.
|
||
|
||
:::note
|
||
Se afsnittet [Granular Rules (Object Syntax)](#granular-rules-object-syntax) ovenfor for mere detaljerede mønstermatchningseksempler.
|
||
:::
|
||
|
||
```json title="opencode.json"
|
||
{
|
||
"$schema": "https://opencode.ai/config.json",
|
||
"permission": {
|
||
"bash": {
|
||
"*": "ask",
|
||
"git *": "allow",
|
||
"git commit *": "deny",
|
||
"git push *": "deny",
|
||
"grep *": "allow"
|
||
}
|
||
},
|
||
"agent": {
|
||
"build": {
|
||
"permission": {
|
||
"bash": {
|
||
"*": "ask",
|
||
"git *": "allow",
|
||
"git commit *": "ask",
|
||
"git push *": "deny",
|
||
"grep *": "allow"
|
||
}
|
||
}
|
||
}
|
||
}
|
||
}
|
||
```
|
||
|
||
Du kan også konfigurere agenttilladelser i Markdown:
|
||
|
||
```markdown title="~/.config/opencode/agents/review.md"
|
||
---
|
||
description: Code review without edits
|
||
mode: subagent
|
||
permission:
|
||
edit: deny
|
||
bash: ask
|
||
webfetch: deny
|
||
---
|
||
|
||
Only analyze code and suggest changes.
|
||
```
|
||
|
||
:::tip
|
||
Brug mønstermatchning til kommandoer med argumenter. `"grep *"` tillader `grep pattern file.txt`, mens `"grep"` alene ville blokere det. Kommandoer som `git status` fungerer for standardadfærd, men kræver eksplicit tilladelse (som `"git status *"`), når argumenter sendes.
|
||
:::
|