При реализации ABAC / XACML в спецификации указано, что вы должны перехватывать запросы на конфиденциальные данные с помощью PEP, которые направляют запрос на PDP (PEP включают атрибуты о субъекте, среде, ресурсе и действии при вызове PDP).
Затем PDP определяет, какие правила необходимо оценить для принятия решения о доступе.
Из Википедии: https://en.wikipedia.org/wiki/XACML
XACML предоставляет цель [5], которая в основном представляет собой набор упрощенных условий для объекта, ресурса и действия, которые должны быть выполнены, чтобы набор политик, политика или правило применялись к данному запросу. Когда обнаруживается, что политика или набор политик применим к данному запросу, его правила оцениваются для определения решения о доступе и ответа.
Набор политик, политика и правило могут содержать целевые элементы.
Насколько я понимаю, то, как PDP решает, какие правила в PIP применимы, зависит от конкретной реализации, но это кажется очень важной частью процесса - например, если вы пропустите правило, вы не сможете правильно оценить запрос. Какими способами люди это реализовали? Что сработало, а что нет? (Я неохотно склоняюсь к поиску по таблице EAV-типа.)