我想回答一些问题,比如我可以访问什么?,通过使用XACML,它们是否是Axiomatics ARQ之外的变通方法?
我想你想问XACML PDP的问题(bob可以访问哪些资源。根据XACML核心规范,没有提到这种类型的查询。但你可以实现它。一种方法是使用多个决策配置文件。PEP可以将系统中的所有资源、操作和用户(bob)发送到PDP,然后PDP将用多个XACML结果进行响应,PEP可以过滤掉允许的资源。此外,与Axiomatics一样,也有一些xACML实现以自己的方式支持此功能。WSO2Identity Server是一个开源的XACML引擎,它也支持此功能。您可以在这里找到更多详细信息。Identity Server引入了搜索API,它将搜索所有策略并对其进行评估,以返回给定用户的可访问资源。另外,如上所述,有时,您可能会使用多个决策配置文件和分层资源配置文件来实现相同的行为。但这取决于您的用例。我想这会对你有所帮助。