30、授权与数据处理策略架构解析

授权与数据处理策略架构解析

1. 授权组件与策略评估

在整体架构中，授权功能由独立的授权组件实现。该组件无状态，实现了用于授权语言的授权策略评估引擎。

授权请求是一个元组，包含以下信息：
- 要访问的资源
- 要执行的操作
- 指定请求者的数据
- 请求的目的

一个授权请求只能针对单个资源实例，资源通过数据请求来寻址。若请求者或组件要访问多个资源，需向组件发出单独请求，响应由其他组件处理，这由协商组件完成。不过，授权查询可独立于协商进行，例如计算本地数据访问的授权决策时。

授权组件需要访问策略管理组件以获取评估所需的策略，同时访问数据存储以在评估时获取主体和对象的配置文件。任何所需状态作为评估请求的输入传递给组件。

从数据请求到具体要发布的数据项的映射在协商过程中完成。若映射不唯一确定，可能需要用户输入。根据用户对要发布的具体数据的选择，可计算适用的授权策略，这也在协商协议内完成。

2. 数据集成

为将授权策略评估组件与架构集成，策略评估引擎必须能够访问关于主体（访问请求者）和对象（被访问资源）的数据。

2.1 主体数据

采用混合方法处理主体数据，允许使用动态主体配置文件（在当前会话期间由另一方或第三方提供的数据）和静态主体配置文件（配置文件数据记录中存储的关于请求者的所有公式）中的数据。

从技术角度看，这两个数据源的实现方式相同，都包含一组用数据模型表示的关于主体的公式。对于策略评估，这些公式的合取表示已知的主体数据。

但在概念上存在差异：
- 检索和利用静态主体