附　錄　A （資料性附錄） 應用場景

A.1　介紹

本附錄描述了訪問控制中間件的兩種應用場景，部署訪問控制中間件可參考但不局限于此兩種應用場景。

A.2　訪問控制中間件應用于單域

一般情況下，訪問控制中間件應用于單個域。對域內用戶的訪問請求進行響應，并將判定結果返回給應用系統。在這種情況下，訪問控制中間件在判定過程中若需要查詢用戶屬性，只需在域內的屬性查詢點查詢。

用戶請求對需要進行訪問控制的資源的訪問時，請求由應用系統進行處理，應用系統需要與訪問控制中間件交互，中間件此時被調用，如果判斷過程需要查詢詳細信息，則可以訪問策略發布點和屬性發布點進行查詢，借助獲取的信息進行判定，并將結果返回給應用系統。應用系統根據判定結果來決定是否允許用戶的訪問請求。如圖A.1所示。

圖A.1　單域應用場景

A.3　訪問控制中間件應用于跨域

某些情況下，訪問控制中間件可能應用于跨域，即需要對外域用戶訪問本域資源進行判定。在這種情況下，本域訪問控制中間件可能需要與外域訪問控制中間件交互，查詢外域用戶擁有的外域屬性。

如圖A.2所示，位于域A中的用戶在對域B中的某些資源發出訪問請求時，域B中的訪問控制實施組件會調用訪問控制中間件進行判定。此時域B中沒有該用戶的屬性信息，因此域B中的訪問控制中間件要跨域訪問域A中的訪問控制中間件，以獲取該用戶的屬性信息。域A中的訪問控制中間件進行查詢并返回結果。域B中的訪問控制中間件根據在本地策略發布點查詢得到的信息和跨域交互返回的信息來進行判定，將結果返回給訪問控制實施組件，訪問控制實施組件根據判定結果作出決策。

圖A.2　跨域應用場景