[英]How to store rights? alternatives to XACML
我希望存儲權利的概念證明。 我知道有不同的訪問控制方式(DAC,MAC,RBAC,..)。 我的第一個想法是使用數據庫,但我正在尋找一些像XACML這樣的更成熟的標准,但遺憾的是我還沒有找到一些真正的替代品。 感謝任何tipps!
首先,退一步看看可比較的項目。
在訪問控制中,您可以使用不同的模型來提供時間。 從歷史上看,你首先擁有DAC和MAC。 您有訪問控制列表的概念(也稱為基於身份的訪問控制或IBAC)。
然后突然,用戶的唯一身份已經不夠了。 我們開始將用戶組織成角色和組。 這導致了RBAC或基於角色的訪問控制的創建,NIST正式成為標准。
快進10年以上,角色不再足夠。 ACL和RBAC過於以用戶為中心 。 他們不滿足背景或關系。 它們不夠精細。 出現了一種名為ABAC或基於屬性的訪問控制的新模型。 NIST也在標准化ABAC。 ABAC能夠實現任何類型的訪問控制要求,並且可以滿足用戶,資源,操作和上下文屬性。
那么,XACML呢? XACML - 可擴展訪問控制標記語言 - 是ABAC模型的一種實現。 它是ABAC最廣泛實施的實施方案。 你問是否有其他選擇。 一些想到的包括:
但實際上,我見過的大多數ABAC實現都使用XACML或本土代碼+ RBAC的混合。 毋庸置疑,后者並不能很好地擴展並且很難維護。
如果您想了解更多信息,請查看以下資源:
如何將XACML 3.0請求與策略存儲中存儲的策略進行匹配
[英]how to match XACML 3.0 request against policy stored in policy store
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
