我需要对一些公共托管的 API 实施授权。应允许外部实体在认证和授权后使用 API。基本身份验证将用于执行身份验证。授权应基于角色,并且必须在多个级别进行:
- 如果标识的用户具有 system_user 角色,则允许 API 访问 else
- 如果识别的用户没有 system_user 角色,则找出在数据库中映射到哪个设备(试图从哪个用户访问)的帐户。识别帐户后,确定该帐户是否属于该用户,并且用户已获得该帐户的正确角色。
实现此逻辑的一种方法是我使用数据库和代码创建所有专有的东西。但在我这样做之前,我想知道是否有一些工具可以通过 XACML 等规则帮助实现这个逻辑