根據基於PDP的決策過濾客戶端數據是否可行？

Question

我有一個Web應用程序中，我給用戶的基於角色的數據訪問，我使用XACML的基於反向查詢的概念，即

"A user want to access resource xyz, so under what condition he is allowed to do so?"

所以，我的問題是如何可行的是如果我不根據服務器中的策略過濾數據，而是將所有數據和策略一起推送到客戶端，並讓客戶端處理數據過濾，我想這樣做是因爲我的服務器是基於雲的服務器，而我不想把任何計算過量放進去，所以想知道他們有什麼缺點，如果我採用這種方法？

Answer 1

1. 它是不是真的在所有
2. 更多的流量固定在電線上
3. 更多的邏輯在客戶端上，所以在更新的情況下，你將需要更新多個客戶端，而不是單一的服務器在雲中。

Answer 2

您的方法在分佈式環境中工作是不可行的，因爲您提到您的應用程序是基於雲的，這意味着您正在遵循分佈式架構。在這種情況下，將所有決策放在客戶端上的方式是非常錯誤的。讓服務器執行服務器處理客戶端請求並相應地服務的工作。

缺點：

1. 您的客戶端超載。
2. 在你的情況下沒有PEP和PDP分離。
3. 策略應存儲在策略存儲中，您將所有的東西存儲在客戶端。
4. 正如你所提到的，如果你不根據策略過濾數據，那麼他們沒有使用XACML 3.0的使用。