如何实施 XACML 策略？

Question

我正在开发一个 jsp hibernate 项目。现在我想在我的项目中实施 XACML 策略。请指导我，如何构建和实施 XACML 策略？

Answer 1

你需要两件事

1. 一种编辑 XACML 策略的方法
2. 一种评估 XACML 策略的方法，即您需要一个 XACML 决策引擎，也称为策略决策点 (PDP)。有可用的开源和商业引擎，例如
   1. WSO2 巴拉纳 (OS)
   2. SunXACML（操作系统）
   3. 公理（商业）

关于编辑策略，您可以简单地使用

1. 针对 XACML 架构的 JAXB
2. Eclipse 的 ALFA 插件
3. 另一个编辑器，例如 Oracle 或 Axiomatics 附带的编辑器。

Answer 2

实现基于 XACML 的设计所需的基本组件是：

• PDP（策略决策点）
• PAP（策略管理点）
• PEP（政策执行点）

在哪里

PDP : PDP 实际上是 XACML 引擎，它将执行策略评估并将评估结果的决定返回给您的应用程序，如“允许”或“拒绝”等。（独立组件和没有什么可以在你的应用程序中实现）

PAP ：这实际上是用于策略编辑器组件，您将在其中编写和设计策略，还可以将策略保存到 PDP。 （独立组件，无需在您的应用程序中实现）

PEP ：在您的应用程序和 XACML 引擎（即 PDP）之间实际通信的组件。实际上，它会拦截到您的应用程序的请求并将其发送到 PDP 以获取策略决策，并基于此您可以允许/禁止内容/访问请求。 （这个组件实际上是在你的应用程序内部实现的）

除此之外，还有一个称为 PIP（策略信息点）的附加组件，可用于获取主题/用户的属性，这些属性是 PDP 中适用策略所必需的，而不是从 PEP 传递到 PDP

由于 David 已经为您提供了可用的产品和工具来实现它们，您可以选择在您的项目中或在不同的其他项目/应用程序中使用相同的产品和工具，因为除了 PEP 之外，所有其他组件都独立于您的应用程序/项目。