【发布时间】:2015-03-17 20:53:44
【问题描述】:
我知道在 ALFA 中没有委托关键字之类的东西。但我真的很想知道为什么... 是因为实施起来太难还是有其他原因?
【问题讨论】:
标签: authorization access-control delegation xacml alfa
【发布时间】:2015-03-17 20:53:44
【问题描述】:
在 ALFA 中实现委托会相对简单,因为毕竟您需要的只是一方面是根策略,另一方面是受信任的策略。受信任的策略将具有另一个称为 PolicyIssuer 的元素。所以我们在 ALFA 中需要的只是设置发行人的能力。
也就是说,这还不够。在运行时,引擎 (PDP) 必须确定根策略和可信策略之间的信任链。这通过PolicyIssuer 发生。不同的实现会有不同的实现方式。我们在 Axiomatics 使用签名策略做到了这一点。这涉及到有钥匙可以签名。我们没有在 ALFA 中提供委托的原因是没有人真正使用它。行政委派无疑是个好主意(我们在 Axiomatics 的 CTO 撰写了简介),但很少使用。
【讨论】: