问题标签 [abac]

我有一个由 EJB 组成的企业应用程序，并且还有一些 REST api。此外，我还有一些其他服务会消耗我的 bean，例如：g ui services。我的 EJB 使用基于角色的注释进行注释，即：e RolesAllowed、. DeclareRoles我的应用程序中也有一些 REST API，我需要对少数资源进行访问控制，并有一些其他 API 具有不受限制的访问权限。

在这种情况下，应该在哪里实施 RBAC？在 bean 级别还是在 REST API 级别？

例如，使用包含两个条件的 AND 函数的 XACML 之间有什么区别。一个条件是时间在 1-6 范围内并且日期等于 23/07/2015

另一个 XACML 将有两条规则，一条规则是时间范围 1-6，另一条规则日期等于 23/07/2015。

我的意思是，它们是如何工作的？第一个，AND 函数必须为真才能获得许可效果。第二个呢？是否会检查这两个规则中的一个是否为真并给予许可效果，或者两个规则都必须像第一个规则一样为真？

我有一个场景，允许具有特定角色的用户根据他自己的 id 调用 EJB 方法。在 EJB bean 上，我有@RolesAllowed用户特定角色的注释。对于基于角色的检查，方法调用工作正常，但是如果图片中的用户调用传递另一个用户的 id 的 bean 方法，该方法仍然会被调用。我如何使用 RBAC 避免这种情况，或者我是否需要使用任何替代方式来实现这一点？

Lets say there are resources like the files. Who, when, where have an access to the individual file is not a problem. Assume that there is a resource like a directory which has its own attributes and contain other files, directories and/or some other items. Now there is a user which have an access to a directory but does not have access (even to see the name/title) to some of the files or sub-diectories.

How to filter the directory to contain only the files which a user may access, if the policy decision is separated from a business logic. Should I check each file individually?

If yes then if the directory contains 10M files and user has access only to a couple of files how to identify that files?

The DSL ALFA by Axiomatics is only provided as an eclipse plugin. Is it possible to use it in standalone mode? There is a Main class bundled in the jar but I have had no luck getting it to work.

我们有一个使用resource/action based authorization. 最近我们公司决定使用LDAP服务器作为Authentication和Authorization.

我以前没有使用过LDAP服务器，但据我所知，我们可以为不同的对象定义我们的模式。所以我在网上搜索了一个resource/action based authorization使用实现的简单示例，LDAP但我没有找到任何东西（每个人都在谈论关于用户、组和角色）

所以我想到了两个问题：

1. LDAP使用a是个好主意吗resource-action based authorization （因为我找不到如何做到这一点的好例子）
2. 如果是，我们如何实施？（任何谷歌结果都会有所帮助:)）

PS：我们的应用程序是用 C# 编写的。是否有任何好的开源LDAP客户端可供我们使用，或者我们应该使用 .NetDirectoryServices吗？

我有一个带有 Windows 身份验证的 MVC 5 项目。

我使用默认的 WindowsTokenRoleProvider 作为我的角色提供程序，它适用于以下情况：

它工作得很好。当我想使用自定义角色时，问题就开始了，例如：“批准人”。为了检查谁是真正的审批者，我必须查询一个特殊的表并使用自定义逻辑来确定当前人是否是审批者。

为了做到这一点，我重写了AuthorizeCoreof CustomAuthorize，并写了如下内容：

但是当我添加另一个角色时会发生什么，比如说Managers，我将不得不添加：

我怎样才能使它更通用？

我是 WSO2 身份服务器世界的新手。有谁知道 Identity Server 是否能够使用Oasis XACML 定义中定义的新 JSON 发送和接收 XACML 请求和响应？

我找不到任何关于此的参考或教程。

提前致谢！

我目前正在尝试设计一个具有以下组件的授权模型：

权限 - 可以授予或拒绝用户/组的操作

角色 - 特权的集合；角色可以与用户或组相关联

安全对象 - 应用安全的实体

对象所有者 - 安全对象的所有者

状态 - 表示安全对象状态的属性

用户 - 服务的标准消费者；可以被拒绝或被授予访问权限

组 - 共享共同事物的用户集合；角色可以分配给组；权限可以分配给组

我的问题如下：有没有办法用我上面介绍的当前组件正确地模拟角色的上下文？

例如，假设我有当前的授权声明：

我可以将此语句分解为模型组件：

这个剖析没有归因的一件事是蒂姆是玛丽的朋友

是否有一个组件可以添加到这个模型中来捕获这个上下文（“玛丽”），或者有没有一种方法可以使用我预先存在的身份验证模型组件重新表示权限声明？最佳做法是什么？

大家好，我是 ASP.net 的新手，我正在使用 asp.net 4 构建一个 Web 应用程序，我进入了授权方面，我已经阅读了一些与这个概念相关的文章，但是没有一个附带我想要的是。

我不想使用 web.confing 来实现授权概念，我要使用的是属性级授权。

我想有这样的能力。

请不要给我提供另一种情况，请耐心等待，因为我已经说过我还是新手。