多级授权

Question

我需要为某些公开托管的API实现授权。在认证和授权之后，应允许外部实体使用API​​。 基本身份验证将用于执行身份验证。 授权应基于角色，并且必须在多个级别完成：

1. 如果标识的用户具有system_user角色，则允许API访问
2. 如果标识的用户没有system_user角色，请找出数据库中映射到哪个设备（用户尝试访问的设备）的帐户。识别帐户后，查明该帐户是否属于该帐户，并且该帐户的用户具有正确的角色。

实现此逻辑的一种方法是使用数据库和代码创建所有专有权。但在我这样做之前，我想知道是否有一些工具可以帮助通过一些规则来实现这个逻辑，比如XACML