XACML是什么可扩展访问控制标记语言-XML/RSS教程-PHP中文网

XACML是什么可扩展访问控制标记语言

月夜之吻

发布： 2025-12-18 14:51:07

原创

299人浏览过

XACML 是一种标准化的、基于 XML 的细粒度授权策略语言，用于解决“谁在什么条件下能对什么资源执行什么操作”问题，支持 ABAC 模型，实现策略与执行分离，并通过 PEP、PDP、PAP、PIP 四组件协同工作。

xacml是什么可扩展访问控制标记语言

XACML 是一种标准化的、基于 XML 的访问控制策略语言，全称是 eXtensible Access Control Markup Language（可扩展访问控制标记语言），由 OASIS 组织制定并维护。它不是用来做身份认证的，而是专门解决“谁在什么条件下，能对什么资源执行什么操作”这类授权决策问题。

核心定位：细粒度授权的通用表达语言

传统 ACL 或 RBAC 往往硬编码在应用里，难以复用和跨系统协同。XACML 把访问策略从代码中抽离出来，用统一语法描述——比如“允许部门经理在工作日 9:00–17:00 查看本部门的财务报表”，这种带属性、时间、上下文的规则，XACML 能清晰表达。

支持属性基访问控制（ABAC）：依据主体（用户）、资源、操作、环境等多维属性动态判断
策略与执行分离：策略写一次，可在多个服务中复用
符合国家标准 GB/T 30281—2013，也被零信任架构采纳为策略定义标准

四个关键组件协同工作

XACML 不是一个单体工具，而是一套职责分明的运行模型：

Python开发网站指南 WORD版

本文档主要讲述的是Python开发网站指南；HTML是网络的通用语言,一种简单、通用的全置标记语言。它允许网页制作人建立文本与图片相结合的复杂页面，这些页面可以被网上任何其他人浏览到，无论使用的是什么类型的电脑或浏览器 Python和其他程序语言一样，有自身的一套流程控制语句，而且这些语句的语法和其它程序语言类似，都有for, if ,while 类的关键字来表达程序流程。希望本文档会给有需要的朋友带来帮助；感兴趣的朋友可以过来看看

查看详情

PEP（策略执行点）：嵌在业务系统中，负责拦截访问请求、封装成 XACML Request 并发给 PDP
PDP（策略决策点）：核心“大脑”，加载策略、调用 PIP 获取属性、评估规则，返回 Permit/Deny/NotApplicable/Indeterminate
PAP（策略管理点）：供管理员创建、版本化、部署策略的后台接口或控制台
PIP（策略信息点）：按需提供外部属性源，如从 LDAP 拉用户部门、从数据库查资源分类、从时钟服务取当前时间

策略结构直观可读

一个典型 XACML 策略用 XML 编写，包含 Policy、Rule、Target 和 Condition 四层逻辑：

Target 定义适用范围（例如：资源类型=“发票文件夹”，操作=“创建”）
Rule 描述具体条件（例如：subject.role == “财务经理” AND environment.time-of-day >= “09:00”）
Condition 支持更复杂的布尔表达式，XACML 3.0 还支持 JSON/XML 类型属性解析
多个 Rule 可组合，通过“deny-overrides”或“permit-unless-deny”等算法处理冲突