问XACML 3.0和多种资源

EN

我正在尝试弄清楚如何使用Balana的XACML实现实现授权机制(WSO2的授权引擎是基于Balana的)。

当用户请求访问单个资源(例如，bob想要读取医疗记录)时，事情很简单。

但是，假设bob想要阅读他所有病人的医疗记录。这里的第一个问题是，需要有一种方法来找出谁是他的病人。我还需要他的病人的每一份个人记录的属性。问题是，我正在努力解决这种情况，同时将对我的PIP的属性请求数量保持在最小。

换句话说，我的目标是:我正在尝试根据PIP返回的属性评估Bob是否有权访问多个医疗记录(在创建决策请求时，这些记录是未知的)(例如，我希望我的PIP与数据库的交互尽可能少)。

简而言之，我发现当尝试使用XACML控制对资源集合的访问时，事情变得很棘手。

我在这里找到了几个选项：

1. My request包含主题、操作、资源ID和范围。我使用XACML Multiple Decision profile: PDP知道子资源/子资源是目标资源，因此它将为每个子资源/子资源创建多个评估上下文(但尚未找到资源的属性)。然后，使用PIP，它将检索每个单独评估上下文的属性(例如，获取bob的医生ID，然后获取每个单独资源的医生ID )。例如，如果我的PIP正在查询数据库，它将为每个单独的请求为每个单独的属性执行大量查询，因此对性能有很大的影响。
2. 我的请求包含主题、操作、资源ID。我不再使用多决策配置文件。然而，在创建评估上下文并要求PDP评估我的请求之前，我知道我的资源实际上是一个集合，所以我以某种方式获取了所有子代/子代及其所有属性，只有在获得所有这些信息之后，我才手动为每个子代/子代创建单独的决策请求，并在其中填充所有相应的属性。所以我给了PDP一个胖的决策请求，它几乎包含了所有必要的属性。由于决策请求在评估上下文中几乎具有所有属性，因此不需要询问我的PIP。这样做的好处是，我在PDP评估决策之前就得到了所有信息，所以PDP必须做的工作保持在最低限度。但是，我不确定是否应该在到达PDP之前找到子代/子代和它们的所有属性(正如XACML规范所说的，在上下文处理程序的某个地方)。
3. 我的请求包含主题、操作、资源ID。我使用多决策配置文件。我有一个组件，可以找到孩子/后代资源，以及一些PIP。所有这些组件都使用存储库，假设该存储库称为MedicalRecordsRepository。当请求子代/子代in时，此存储库还从数据库中获取所有属性，并将所有这些信息存储在缓存中。因此，之后，当有多个单独计算的求值上下文时，如果PIP被请求返回一个属性，它将从repo的缓存中获取该属性。因此，数据库交互被保持在最低限度。但是，问题出在存储库组件及其缓存上。

我已经阅读了规范，我到处挖掘，但我还没有找到任何解决这个问题的方法。有谁有什么想法吗？提前感谢！