XACML 是一种标准化的、基于 XML 的细粒度授权策略语言,用于解决“谁在什么条件下能对什么资源执行什么操作”问题,支持 ABAC 模型,实现策略与执行分离,并通过 PEP、PDP、PAP、PIP 四组件协同工作。
XACML 是一种标准化的、基于 XML 的访问控制策略语言,全称是 eXtensible Access Control Markup Language(可扩展访问控制标记语言),由 OASIS 组织制定并维护。它不是用来做身份认证的,而是专门解决“谁在什么条件下,能对什么资源执行什么操作”这类授权决策问题。
核心定位:细粒度授权的通用表达语言
传统 ACL 或 RBAC 往往硬编码在应用里,难以复用和跨系统协同。XACML 把访问策略从代码中抽离出来,用统一语法描述——比如“允许部门经理在工作日 9:00–17:00 查看本部门的财务报表”,这种带属性、时间、上下文的规则,XACML 能清晰表达。
- 支持属性基访问控制(ABAC):依据主体(用户)、资源、操作、环境等多维属性动态判断
- 策略与执行分离:策略写一次,可在多个服务中复用
- 符合国家标准 GB/T 30281—2013,也被零信任架构采纳为策略定义标准
四个关键组件协同工作
XACML 不是一个单体工具,而是一套职责分明的运行模型:
- PEP(策略执行点):嵌在业务系统中,负责拦截访问请求、封装成 XACML Request 并发给 PDP
- PDP(策略决策点):核心“大脑”,加载策略、调用 PIP 获取属性、评估规则,返回 Permit/Deny/NotApplicable/Indeterminate
- PAP(策略管理点):供管理员创建、版本化、部署策略的后台接口或控制台
- PIP(策略信息点):按需提供外部属性源,如从 LDAP 拉用户部门、从数据库查资源分类、从时钟服务取当前时间
策略结构直观可读
一个典型 XACML 策略用 XML 编写,包含 Policy、Rule、Target 和 Condition 四层逻辑:
- Target 定义适用范围(例如:资源类型=“发票文件夹”,操作=“创建”)
- Rule 描述具体条件(例如:subject.role == “财务经理” AND environment.time-of-day >= “09:00”)
- Condition 支持更复杂的布尔表达式,XACML 3.0 还支持 JSON/XML 类型属性解析
- 多个 Rule 可组合,通过“deny-overrides”或“permit-unless-deny”等算法处理冲突
和 SAML 的关系要分清
SAML 解决的是“你是谁”和“你已被谁认证”,负责身份断言的传递;XACML 解决的是“你能不能做这件事”,负责基于策略的实时授权计算。两者常配合使用:SAML 提供用户身份和属性,XACML 拿这些属性去匹配策略并做决策。
