XACML как шаг эволюции в существующем приложении
Атрибуты являются основной проблемой с использованием regexes, чтобы попытаться работать с HTML. Рассмотрите чистое количество потенциальных атрибутов и то, что большинство из них является дополнительным, и также то, что они могут появиться в любом порядке и том, которое">" допустимый символ в заключенных в кавычки значениях атрибута. Когда Вы начнете пытаться принять все во внимание это, regex, необходимо было бы иметь дело со всем этим, быстро станет неуправляемым.
то, Что я сделал бы вместо этого, является использованием основанный на событии синтаксический анализатор HTML или тот, который дает Вам дерево DOM, которое можно обойти через.
1 ответ
Заявление об ограничении ответственности : Я разработчик для IBM и работаю над нашим продуктом, который широко использует XACML (Tivoli Security Policy Manager). Я немного предвзято отношусь к XACML.
Я думаю, что XACML - отличная альтернатива, главным образом потому, что он может поддерживать практически любую модель безопасности. Я бы посоветовал смоделировать ваше существующее решение RBAC в XACML (см. профиль ), а затем расширить его, чтобы включить более детальный контроль доступа там, где этого требуют ваши бизнес-требования.
Внешнее включение кода авторизации в политику имеет дополнительное преимущество, заключающееся в возможности изменять модель безопасности вашего приложения без ее перекомпиляции.
Существуют ли какие-либо существующие приложения, которые переключились на XACML из источника RBAC?
К сожалению, мне не известны какие-либо конкретные примеры, по крайней мере, те, о которых я могу говорить публично. Существует внутренний проект IBM, который выделил месяц на реализацию модуля авторизации, но выполнил это за неделю, выполнив его экстернализацию с помощью нашей реализации XACML. Это явно отличается от вашего примера, поскольку это был проект разработки «зеленых полей», но подчеркивает, что общий подход, который вы рассматриваете, дает определенные преимущества.