Я хотел бы объявить некоторые политики:
some one can visit anything under the img path, but img folders are scattered everwhere, so the attributevalue in the xacml policy may seem like this: "/rootpath/**XPATH_PART**/img/*".
как написать политику такого рода.
Я просмотрел «основную спецификацию XACML3.0», «Множественный профиль», они говорят
Each Individual Decision Request SHALL be identical to the original request context with two exceptions: the “multiple:content-selector” attribute SHALL NOT be present and an added “content-selector” attribute value SHALL be an XPath expression that evaluates to a single node in the <Content> element
Я думаю, это означает, что в файле политики я не могу использовать XPath в AttributeValue для ссылки на несколько ресурсов, как я сказал в первую очередь, верно? потому что запрос разрешается в отдельный запрос, каждый из которых запрашивает ресурс с указанным идентификатором атрибута.
Есть ли что-то в спецификации, которую я пропустил или неправильно понял? или кто-нибудь может предложить лучший способ сделать то, что я хочу?
Теперь мне интересно, может ли это сделать использование регулярного выражения в ресурсе. Соответствующая функция urn:oasis:names:tc:xacml:1.0:function:string-regexp-match
.
P.S.: Я пытаюсь настроить сервер авторизации для своей компании, XACML кажется хорошим местом для начала. Но никто из окружающих меня об этом не знает. Буду признателен, если кто-нибудь может дать мне какие-либо предложения по настройке системы контроля доступа.