目前我在一家在线支付公司工作,我需要实施门禁系统。我在2年前使用XACML进行实验,并将其用于管理系统(基于Balana的XACML实现)。我注意到XACML版本3规范自2013年1月以来一直没有更新,我想知道这个规范是否仍在维护中。如果没有,有没有人知道任何替代方案?
答案 0 :(得分:4)
大卫所说的是正确的。此外,OASIS XACML技术委员会(TC)刚刚投票决定对Errata for XACML 3.0进行公开评审。审查应在几天内开始。更正很小,但确实表明我们正在维护文件并从现场获取意见。
虽然目前还没有人在使用它们,但我希望看到有几个未完成的配置文件已完成。一种是扩展XACML的JSON格式以涵盖策略语言。它目前仅涵盖决策请求协议。另一种是ALFA策略语言,它是一种更加用户友好的,类似JSON的语言,最初由Axiomatics开发,并得到TC的认可。
对于想要使用XACML的人,除了几个优秀的商业产品外,还有至少两个其他开源实现,另外还有上面提到的WS02-Balana。 Forgerock有一个,而另一个最初是在ATT内部开发的。后者是为Apache孵化器做出的贡献,但未能获得牵引力并被封存。但是,在Apache许可下,原始代码仍可免费获得。
最后我要提一下,我已经提出了各种方法来将XACML与基于令牌的授权方案(如OAuth)集成。然而,这还没有超过研究阶段。
答案 1 :(得分:2)
是的,XACML仍然非常活跃。版本3中的标准已经成熟,现在没有人在使用XACML 4.0。鉴于XACML 3.0是标准,因此不会对3.0进行任何更改。要么我们去3.1或4.0。我们正在为4.0版本考虑增强功能,但这不是现在的重点。
重点关注配置文件,包括技术配置文件(例如JSON profile of XACML)和业务配置文件(例如XACML的Export Control配置文件)。
免责声明:我为Axiomatics工作,这是领先的XACML实施。我也是XACML技术委员会的成员。
我们在市场上看到越来越多的基于属性的访问控制和XACML的请求,特别是在金融和医疗保健领域