主要观点：介绍如何使用 JSON XACML 策略执行点来保护 REST API 端点，使用 ALFA、XACML 和 JSON 实现。
关键信息：

• 有一个管理采购订单的 REST API，包含多种 HTTP 操作及对应响应码。
• 定义了一些授权需求，如不同部门经理的权限等，且与应用/REST API 解耦。
• ALFA 是用于编写授权策略的轻量级语法，可免费获取相关工具。
• 需实现能检查请求和响应的 REST 策略执行点，可使用 JAX-RS 的拦截器，包括 ReaderInterceptor 和 WriterInterceptor 来处理请求和响应。
  重要细节：
• 展示了简单的 ER 图，包含员工和采购订单数据。
• ALFA 示例代码中定义了不同操作的策略集和规则，如禁止查看采购订单的信用卡号等。
• 在 Java 和 JAX-RS 中实现 REST API 时，可通过拦截器在请求和响应的处理过程中进行授权相关操作，最后部署执行点和授权策略。