设计XACML API

Question

目前，XACML规范定义了一个用于请求/响应的协议，但如何将其集成到企业应用程序中则由它来解释。我认为，除非创建一个新的开源项目，尝试围绕一组通用API开发/标准化XACML，否则XACML的价值将无法实现。

对于那些熟悉XACML的人，我很想了解他们创建这样一个项目的第一反应，他们是否愿意贡献，以及他们认为XACML API会是什么样子？

Answer 1

也许我不理解这个问题，但是XACML的SAML概要文件不是做了您想要的吗？它定义了authzDecisionQuery和响应记录的SOAP格式，这应该就是您所需要的。

我围绕着Sun/DISA的解释器(它在forge.mil上)构建了其中的一个，还有一个速度更快的版本(还没有发布)是围绕着一个完全编译的实现，它可以直接将XACML语言转换成Java代码。它的主要目标是可读性，而不是速度，但它的速度大约是它的十倍。

IMO XACML可以工作，但作为一种让人难看的语言，它绝对是糟糕的。我更感兴趣的是找到一种特定于问题的语言来表达XACML的语义，以便人们能够理解它们。Java在这一点上击败了XACML，但Java作为一种特定于领域的语言相当笨拙。也许是Groovy？

PS:作为我们的第一次尝试，我们尝试了Attempto Controlled (ACE)。当我们发现ACE没有任何可行的方法来表达深度嵌套的条件(没有括号或大括号)时，我们很快就放弃了这个想法。尽管美国国家安全局对基于英语的政策语言有浓厚的兴趣，但我不确定英语是不是正确的想法。

Answer 2

Sun的XACML实现不是为您提供了可靠的API吗？

http://sunxacml.sourceforge.net/

(开发已经回到正轨，网站应该很快就会更新。请看一下sunxacml-devl邮件列表。

Answer 3

sunxacml不是主动维护的。页面/实现的最后一次更新是在2006年。

HERAS-AF XACML Core是一个积极维护的开源XACML实现。