一、簡單介紹
常用的基於角色的訪問控制,最近研究關於基於屬性的訪問控制,感覺這個東西確實是個好東西,把自己的研究內容拿出來跟大家分享下。先簡單瞭解下
用戶在攜帶自身的屬性值包括主題屬性,資源屬性,環境屬性,然後向資源發送請求,授權引擎 會根據subject所攜帶的屬性進行判斷,然後會給出拒絕或者同意的結果給用戶,然後就可以訪問資源。
二、詳細步驟
ABAC授權的步驟
•1、用戶訪問資源,發送原始請求。
•2、請求發送到策略實施點(PEP),PEP構建xacml格式請求。
•3、PEP將xacml請求發送到策略決策點(PDP)。
•4、PDP根據xacml請求,查找策略管理點(PAP)中的策略文件。
•5、PDP從策略信息點(PIP)查找策略文件中需要的屬性值(主體、資源、環境屬性)。
•6、PDP將決策結果(permit、deny、不確定、不適用)返回給PEP。
•7、PEP發送請求到資源,並把資源返回給用戶。
這個圖和步驟就能很清晰的反應據圖的步驟
三、策略文件組成
然後就是策略文件的構成,策略文件是非常重要的文件,所有的決策都是根據策略文件來判斷的
策略文件的組成包括幾部分,目標、規則。