17370845950

XACML 是一种标准化的、基于 XML 的细粒度授权策略语言，用于解决“谁在什么条件下能对什么资源执行什么操作”问题，支持 ABAC 模型，实现策略与执行分离，并通过 PEP、PDP、PAP、PIP 四组件协同工作。

XACML 是一种标准化的、基于 XML 的访问控制策略语言，全称是 eXtensible Access Control Markup Language（可扩展访问控制标记语言），由 OASIS 组织制定并维护。它不是用来做身份认证的，而是专门解决“谁在什么条件下，能对什么资源执行什么操作”这类授权决策问题。

核心定位：细粒度授权的通用表达语言

传统 ACL 或 RBAC 往往硬编码在应用里，难以复用和跨系统协同。XACML 把访问策略从代码中抽离出来，用统一语法描述——比如“允许部门经理在工作日 9:00–17:00 查看本部门的财务报表”，这种带属性、时间、上下文的规则，XACML 能清晰表达。

• 支持属性基访问控制（ABAC）：依据主体（用户）、资源、操作、环境等多维属性动态判断
• 策略与执行分离：策略写一次，可在多个服务中复用
• 符合国家标准 GB/T 30281—2013，也被零信任架构采纳为策略定义标准

四个关键组件协同工作

XACML 不是一个单体工具，而是一套职责分明的运行模型：

• PEP（策略执行点）：嵌在业务系统中，负责拦截访问请求、封装成 XACML Request 并发给 PDP
• PDP（策略决策点）：核心“大脑”，加载策略、调用 PIP 获取属性、评估规则，返回 Permit/Deny/NotApplicable/Indeterminate
• PAP（策略管理点）：供管理员创建、版本化、部署策略的后台接口或控制台
• PIP（策略信息点）：按需提供外部属性源，如从 LDAP 拉用户部门、从数据库查资源分类、从时钟服务取当前时间

策略结构直观可读

一个典型 XACML 策略用 XML 编写，包含 Policy、Rule、Target 和 Condition 四层逻辑：

• Target 定义适用范围（例如：资源类型=“发票文件夹”，操作=“创建”）
• Rule 描述具体条件（例如：subject.role == “财务经理” AND environment.time-of-day >= “09:00”）
• Condition 支持更复杂的布尔表达式，XACML 3.0 还支持 JSON/XML 类型属性解析
• 多个 Rule 可组合，通过“deny-overrides”或“permit-unless-deny”等算法处理冲突

和 SAML 的关系要分清

SAML 解决的是“你是谁”和“你已被谁认证”，负责身份断言的传递；XACML 解决的是“你能不能做这件事”，负责基于策略的实时授权计算。两者常配合使用：SAML 提供用户身份和属性，XACML 拿这些属性去匹配策略并做决策。