29、授权策略：规则组合、评估与资源关联详解

授权策略：规则组合、评估与资源关联详解

在当今复杂的信息系统中，授权策略的合理制定与有效执行对于保障资源的安全访问至关重要。本文将深入探讨授权策略的规则组合、评估方法以及如何将策略与资源进行关联，为构建安全可靠的授权体系提供技术支持。

1. 规则组合

在实际应用中，多个策略规则可能会同时应用于单个资源。例如，当使用层次结构在不同抽象级别表达策略时，为更具体的对象表达式指定更具体的访问要求；或者简单地在资源上指定多个规则；又或者在本体类型上指定一个规则，在该类型的实例上指定另一个规则。

当多个策略适用于一个具体资源时，所有适用的策略以合取方式应用。这意味着，只有当所有适用的规则都评估为允许时，主体才能获得对资源的访问权限。只要有一个规则评估为拒绝，整个访问请求就会被拒绝。

策略以合取方式而非析取方式应用于类层次结构，这是由层次结构的性质决定的。在层次结构中，一个类包含每个级别的子类或实例。在类上指定的策略旨在对其所有子类或实例都有效。因此，对于一个具体实例，实例所在类及其所有超类上表达的策略，以及直接在实例上表达的策略，都同样适用于该实例。

对于请求者的数据要求，任何想要指定的析取关系都必须在单个规则中表达，因为规则的数据要求总是以合取方式组合。不过，该模型可以扩展，允许在规则之间指定析取关系。在这种情况下，规则的布尔结构将应用于每个实例或类，然后需要对这些规则的布尔公式进行合取。结果公式可以用析取范式表示，以便更直观地呈现。

2. 策略评估

策略评估计算总是针对单个资源 r 进行，具体步骤如下：
1. 检索适用规则 ：通过评估授权规则的对象元素，获取