首先,我基于[blog]:https://www.javadevjournal.com/spring-boot/spring-boot-application-intellij/在IntelliJ上创建了一个Spring Boot项目。然后,我在其中生成了带有@PostMapping的控制器和服务。我使用balana [github]:https://github.com/wso2/balana来实现XACML引擎。
遵循[blog]:https://docs.wso2.com/display/IS570/Writing+XACML+3+Policies+in+WSO2+Identity+Server+-+7时,将以硬编码方式创建策略和xacml请求。通过Postman将服务作为http post(http://localhost:8080/evaluate)调用时,xacml响应的工作方式与PERMIT和DENY决策不同。到目前为止,一切都还不错。
当我要将其发布到Azure Web应用程序中时,响应将NotApplicable作为决定。我的保单和要求是否存在异常,或者我错过了什么?
<Policy xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" PolicyId="2" RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:first-applicable" Version="1.0">
<Description>sample policy</Description>
<Target></Target>
<Rule Effect="Permit" RuleId="primary-group-customer-rule">
<Target>
<AnyOf>
<AllOf>
<Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-regexp-match">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">http://localhost:8280/services/echo/</AttributeValue>
<AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"> </AttributeDesignator>
</Match>
<Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">read</AttributeValue>
<AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"></AttributeDesignator>
</Match>
</AllOf>
</AnyOf>
</Target>
<Condition>
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-subset">
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">admin</AttributeValue>
</Apply>
<AttributeDesignator AttributeId="group" Category="urn:oasis:names:tc:xacml:3.0:group" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"></AttributeDesignator>
</Apply>
</Condition>
</Rule>
<Rule Effect="Deny" RuleId="deny-rule"></Rule>
</Policy>
<Request xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" CombinedDecision="false" ReturnPolicyIdList="false">
<Attributes Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action">
<Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" IncludeInResult="false">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">read</AttributeValue>
</Attribute>
</Attributes>
<Attributes Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject">
<Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id" IncludeInResult="false">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">admin</AttributeValue>
</Attribute>
</Attributes>
<Attributes Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource">
<Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" IncludeInResult="false">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">http://localhost:8280/services/echo/</AttributeValue>
</Attribute>
</Attributes>
<Attributes Category="urn:oasis:names:tc:xacml:3.0:group">
<Attribute AttributeId="group" IncludeInResult="false">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">admin</AttributeValue>
</Attribute>
</Attributes>
</Request>
<Response xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17">
<Result>
<Decision>Permit</Decision>
<Status><StatusCode Value="urn:oasis:names:tc:xacml:1.0:status:ok"/></Status>
</Result>
</Response>
<Response xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17">
<Result>
<Decision>NotApplicable</Decision>
<Status><StatusCode Value="urn:oasis:names:tc:xacml:1.0:status:ok"/></Status>
</Result>
</Response>
答案 0 :(得分:3)
根据应用程序的部署位置,决策(PERMIT或DENY)应该没有差异。
我可以告诉您如何确定问题出在您的应用程序,您的策略还是请求中的错误。
首先,只是为了验证请求是否相同,是否检查了Azure和本地主机上的PDP日志,以确保请求确实相同?
如果是这样,接下来我建议您设置一个非常非常简单的规则,无论如何都会返回DENY。然后,确保在本地本地运行Spring Boot应用程序(即计算机上的$ mvn spring-boot:run
)和已部署的服务器上获得DENY。
如果您都无法获得DENY,则需要重新访问应用程序逻辑等。
一旦获得拒绝,请设置一个采用一个参数的简单策略。即如果someNumber == 2,则返回PERMIT。然后在您的本地主机和Azure上尝试此操作。完成这项工作后,您就可以尝试尝试在问题中提到的策略了。
仅供参考,我有多个Spring Boot项目与我的Github中的XACML引擎(公理,而不是WSO2)进行通信,例如:https://github.com/michaelcgood/Axiomatics-Yet-Another-PEP。
我的网站https://michaelcgood.com/category/spring/上也有多篇关于Spring Boot的文章。如果您对内容或代码有疑问,可以与我联系(联系页面上的信息),我将尽我所能予以答复。