我想通过从 https 更改为 http 来加快对 wso2is PDP 的访问。

所有交互都发生在安全网络内部，因此没有安全限制。

我无法设置 wso2is，因此 PDP 端点不会将所有请求从 http 重定向到 https 端口。

可能吗？有人可以帮我完成这个任务吗？

我正在评估 PDP 引擎，目前我尝试使用 AuthzForce Core。到目前为止，通过 PDP 评估请求运行得非常可靠：

现在，根据[1]之类的文献，我不应该信任给定 request-xacml 文件中的属性。只要有可能，我必须检查属性提供者（例如患者数据库）是否给定属性（例如患者出生日期）实际上属于患者以防止攻击。

否则，攻击者可以使请求中的患者更年轻，以便以父母监护人的身份访问患者的记录。

问题

1. 根据属性提供者检查请求是 PDP 还是其他实体的任务？
2. OASIS 是否具体说明了该问题？例如配置文件的工作流程或语法
3. 有没有办法让我的 pdp 引擎知道属性提供者？
4. 我之前应该自己检查提供的请求Response response = pdp.evaluate((Request) request);吗？

我试图让选择标签显示数据库中帖子的标题，这样我就可以单独选择它们并更新它们，而不是更新所有具有相同名称的标题。

所以我的问题是我无法让它工作，也许有人可以帮助我。

这就是我的意思-> https://imgur.com/a/ie1g4hF

如果您想要完整版，可以从我的 github 获取：

https://github.com/TwistedZebra/blog

那里的那个版本不包含选择标签，但使用文本框删除命名的帖子，但缺点是删除每个名称相同的帖子。

我们在 ABAC 中有一个主体、客体（资源）和操作（动作）。主体和客体具有将用于执行规则的属性。

1. 我们可以有多个不同类型的主题以及资源。有些属性与某些类型的资源相关，而有些属性在另一种资源的上下文中没有任何意义。在这种情况下，应该如何实现正确的属性模型？例如，我们有A和B类型的资源。对于类型A 的属性isPublic是相关的，而对于B则不是。如果PIP将收到获取B的isPublic属性的请求，它应该怎么做？什么都不返回或会导致负面规则解决的东西？主题相同的问题。应该如何定义和解决正确的属性模型？

2. 根据PDP的请求，我们是否应该传递我们拥有的所有可能的属性？据我了解，这将提高性能，因为它将允许按策略的目标过滤掉很多策略。

对于我想到的 XACML 策略文档，我有一个主题（用户）和一个对象，每个都附有一个标签。让我们称之为myLabel = {[a,b,c], [1,2,3]}. 我希望对这个标签的各个部分进行比较。

如何定义主题和对象以在访问请求和策略中包含此标签以制定比较此标签的决定？

我希望使用 XML 而不是 JSON 或 ALFA 来声明上述内容。

考虑一个主题和对象都具有如下定义的标签：

subject/object label = [i1, i2, ..., in]，哪里i是subjectId另一个主题。

在策略 (ALFA/XACML) 中，如何对主题和对象标签进行比较，以使两个列表中的元素都不相同。

例如：

最终的决定将是DENY两个标签都包含i9. 如果在任何列表中都找不到匹配项，则访问结果将为PERMIT.

让我们假设一个主题将每秒请求访问许多对象的场景。单个 PDP 上的重负载意味着每个请求的等待和读/写时间增加。

到目前为止，我已经使用AuthzForce Core 项目设置了一个 PDP，为此我有一个 for 循环发送多个请求（这可以使用线程同时完成）。但是，这似乎不是在分布式环境中评估我的策略的合适设置。

有什么办法可以做到吗？也许使用AuthzForce 服务器？

编辑：

我正在运行一个使用 Authzforce Core 的 Java 应用程序。该程序创建一个加载单个策略文档的 PDP 实例，然后 for 循环执行多个请求。这一切都是在程序本身内本地完成的。

Below is an XACML policy, for Chinese Walls, which uses stringAtLeastOneMemberOf to compare two attributes two see if they contain the same value of a list of values.

I.e. if the subject requesting access to an object has a label [1, 4, 5] and the object has a label [2, 3, 5] then access will be denied as both contain 5.

The Chinese Wall Policy

ALFA Code

XACML policy

Policy Enforcement Point (PEP) Code

I am using the Authzforce Core PDP for Java to emulate the PDP and I evaluate the request as follows:

The JSONObject in this case is just how I send the request from my client to the PDP engine. Other policies work, the problem here is I am sending a String i.e. "[2, 4, 5]" to the bag, but it always results in a NotApplicable. Is there are list type that I should be using here instead to conform with the policy?

Here is the JSON I am sending:

Challenge

To be more precise, the JSON output in the java code to Authzforce for the conflict set will be a string i.e. "[2,3,5]" whereas I think this needs to be another format (since it always results in NotApplicable), but this is my question.

我想使用 AuthzForce 的策略决策点 (PDP) 来评估请求（参考：https ://github.com/authzforce/core#java-api ）。这些请求不是 XACML 3.0 格式，而是 XML 格式，其中包含不属于 XACML 的附加元素。请求包含 XACML 3.0 格式的所有元素和其他元素（如数据源、目的等）。

有没有办法将 AuthzForce 的 PDP 与不是 XACML 3.0 格式的请求一起使用？

我有一个已经存在的 XML 格式，看起来像这样（简化）：https ://www.codepile.net/pile/zJrq1XeA

现在我想扩展它以支持使用 XACML 的访问控制。我最初的想法是将 XACML 元素添加到 XML 文件中，但接下来的问题是我是否仍然可以使用 AuthzForce 对其进行评估。目的列表将是我的策略集，目的是策略，并且在目的下我将包括我的规则。

我正在使用 Authzforce PDP 引擎和配置 pdp.xml 文件运行 XACML，如下所示：

现在，${PARENT_DIR}/policy.xmlPDP 引擎通过 rootPolicyProvider 读取的文件包含实际的 XACML 策略并且变得相当大。因此，我想将 XACML 策略划分为多个文件 policy1.xml、policy2.xml、policy3.xml 等。然后这些文件需要由 PDP 引擎读取。

有谁知道 PDP 引擎配置 xml 文件是否能够使用多个 policyProviders 或其他方式指定这一点？这应该不会太难，但是在网上搜索了几个小时后，我还没有找到任何解决方案。

期待您的回复。

谢谢，杰克。