我可以在像BALANA这样的XACML库中使用stormpath用户管理服务吗？

Question

我试图在我正在构建的软件中实现一些安全访问控制。我遇到了用于用户管理的风暴路径，他们有某种程度的RBAC方法，但我考虑的是依赖XACML，更具体地说，依赖于来自WSO2的巴拉娜，因为我可以为用户设置属性，并将配置文件存储在stormpath中，而我则依赖XACML作为策略。

我在这方面有点新，所以我只是想知道这是否可取，或者在我的情况下，有另一种方法将被证明是有用的，以便为安全而不是从头开始构建东西。

Answer 1

这取决于你的架构。原则上，您可以将XACML与任何用户管理工具或身份验证管理一起使用。主要问题是：

• 你在哪里插入你的PEP？
• 它将如何获取用户身份？
• 它将如何传递给PDP？
• PDP需要调用一个潜在的PIP吗？它需要调用Stormpath来检索用户属性吗？

有关XACML体系结构和语言的更多信息，您可以查看Axiomatics博客：

• XACML体系结构
• XACML策略语言

Answer 2

人们经常使用Stormpath所做的事情之一是将授权策略(如XACML或普通字符串“权限”，或任何专有数据)通过将它们存储在customData中分配给帐户或组。

风暴路径中的主要资源(Account、Group、Directory、Application、Tenant)允许您在资源的customData中存储无模式数据，以满足您的任何需要，比如自定义字段或授权策略信息。

以Accounts为例，首先很容易对Account进行身份验证，在成功的身份验证之后，获取该帐户的customData并获得其授权策略(例如XACML)，然后根据您的意愿检查它。

当您对Group资源做同样的事情时，它也变得更强大了。

例如，查找帐户有效(聚合)策略的一个共同方案是将所有Groups ( Account是其成员)的所有策略聚合起来。在该方案中，帐户被授权做任何在其直接customData或其组的customData中表示的事情。

我不知道您使用的是哪种编程语言，但是，作为如何实现这一目标的一个例子，使用阿帕奇·希罗的Stormpath用户使用Shiro 权限 (Shiro的内置基于字符串的授权策略概念)来实现这一精确的技术。

无论编程语言或授权策略格式(例如XACML而不是权限字符串)，您都可以利用Stormpath资源及其自定义数据来实现类似的或自定义的授权方案。我希望这能帮上忙！