XACML 可扩展存取控制标记语言

-示例 XACML 实现
XACML主要用於授权而不是身份验证。可以实施 PKI 以支持相互身份验证。802.1X，又名 EAP over LAN，是一种基於 EAP 的网路存取控制标准。HTTP Basic Authentication 是一种纯文本的身份验证方案；但是，它可以受到 TLS/SSL 的保护。

XACML 代表“可扩展存取控制标记语言”。该标准定义了一种声明性的细粒度、基於属性的存取控制策略语言、一种体系结构和一个处理模型，描述了如何根据策略中定义的规则来评估存取请求。
作为已发布的标准规范，XACML 的目标之一是促进多个供应商的存取控制实现之间的通用术语和互操作性。XACML 主要是基於属性的存取控制系统 (ABAC)，也称为基於策略的存取控制 (PBAC) 系统，其中与用户或操作或资源相关联的属性（数据位）被输入到决定是否给定用户可以以特定方式存取给定资源。基於角色的存取控制 (RBAC) 也可以在 XACML 中实现，作为 ABAC 的专门化。
XACML 模型支持并鼓励将执行 (PEP) 与决策 (PDP) 与授权的管理/定义 (PAP) 分离。当访问决策在应用程序中硬编码（或基於本地机器用户 ID 和存取控制列表 (ACL)）时，当管理策略发生变化时很难更新决策标准，并且很难实现对应用程序的可见性或审计授权到位。当客户端与存取决策分离时，授权策略可以即时更新并立即影响所有客户端。
资料来源：维基百科

资料来源： Wentz Wu QOTD-20211010
My Blog: https://choson.lifenet.com.tw/