У меня вопрос о правилах XACML, которые я использую с библиотекой WSO2 Balana.Политика XACML - это правильно?
Наличие политики:
<Policy xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" PolicyId="Policy1" RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:first-applicable" Version="1.0">
<Target>
<AnyOf>
<AllOf>
<Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">MyApp</AttributeValue>
<AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id"
Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"/>
</Match>
</AllOf>
</AnyOf>
</Target>
<Rule Effect="Permit" RuleId="RuleFor_user1_myapp">
<Target>
<AnyOf>
<AllOf>
<Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">user1</AttributeValue>
<AttributeDesignator AttributeId="http://example.site.com/id/user"
Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"
DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"/>
</Match>
</AllOf>
</AnyOf>
</Target>
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-at-least-one-member-of">
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">READ</AttributeValue>
</Apply>
<AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"/>
</Apply>
</Rule>
</Policy>
Он должен определить, что user1 только разрешение на чтение MyApp.
У меня есть запрос на оценку, который спрашивает, имеет ли пользователь1 разрешения READ, и я получаю «Разрешение» в ответе, что в порядке.
Но когда у меня есть запрос на оценку, который спрашивает, имеет ли пользователь1 разрешения WRITE, я получаю также «Разрешить» вместо «Не применимо».
Может ли кто-нибудь сказать мне, что политика правильная, чтобы произвести результат, который я только что описал?
Спасибо заранее!
С наилучшими пожеланиями, Jurica Крижанич
Веб-сайт валидатора XACML больше не работает. Есть ли другие валидаторы, которые я могу использовать? – Ozkan
Просто используйте схему XACML 3.0 и стандартный инструмент проверки XML, например. Notepad ++ или XML Spy ... –