0

我有一个 Web 应用程序,在其中我向用户提供基于角色的数据访问,我使用基于 XACML 的反向查询的概念,即

"A user want to access resource xyz, so under what condition he is allowed to do so?"

所以,我的问题是,如果我不根据服务器中的策略过滤数据,而是将所有数据与策略一起推送到客户端并让客户端处理过滤数据,这将是多么可行,我想这样做因为我的服务器是基于云的服务器,我不想在其中放置任何计算过载,所以想知道如果我采用这种方法,它们有什么缺点吗?

4

2 回答 2

2

您的方法在分布式环境中工作是不可行的,因为您提到您的应用程序是基于云的,这意味着您正在遵循分布式架构。在那种情况下,将所有决定都交给客户端是非常错误的。让 Server 做服务器处理 Client 请求的工作,并相应地服务。

缺点:

  1. 您的客户端超载。
  2. 在您的情况下,没有分离 PEP 和 PDP。
  3. 策略应存储在 Policy Store 中,您将所有内容存储在客户端。
  4. 正如您所提到的,如果您不根据策略过滤数据,那么他们就没有使用 XACML 3.0。
于 2014-03-05T17:52:36.257 回答
1
  1. 它根本不安全
  2. 线路上的更多流量
  3. 客户端上有更多逻辑,因此在更新的情况下,您将需要更新许多客户端而不是云中的单个服务器。
于 2014-02-20T06:12:14.047 回答