Я не уверен, где проходят границы авторизации с помощью ABAC/XACML и где мне следует использовать валидацию.
Пример 1
У меня есть класс Пользователь и класс Сообщение. Когда пользователь U1 создает новое сообщение M1, атрибут создателя M1 должен быть U1.
Пример 2
У меня есть класс Пользователь. Когда кто-то создает нового пользователя U2, размер пароля должен быть больше 8.
Пример 3
У меня есть класс Пользователь. Когда кто-то создает нового пользователя U3, имя пользователя должно быть уникальным.
Но где мне это проверить. Должен ли я проверить его программно или авторизовать его с запросом к PEP. В частности, пример 2 на самом деле не означает, что вам не разрешено делать эту проблему (авторизация), и более того, вы сделали что-то не так (проверка).