我需要 ACL(访问控制列表)系统的数据库设计方面的帮助。
商业规则
让我解释一下要求:
- 系统中的任何业务对象都将获得一个 ACL,该 ACL 明确定义了谁可以访问该对象。
- 我们的系统有用户组,ACL 将指定哪些组可以访问该对象。
- 任何用户都可以成为 N 个组中的成员。
- 如果用户不包含在 ACL 中,她甚至不会看到这些对象。
目前的考虑
有些表可以容纳数十万个这样的业务对象,因此我需要一个可以快速为它们选择“可见”行的设计。
我的想法是在ACL_ID带有业务对象的表中添加一个。假设我有一张桌子Orders,我需要控制可访问性:
CREATE TABLE Orders
(
ID int not null,
... lots of columns with relevant information
ACL_ID int not null
);
我将ACL_ID限制为外键的列添加到AccessControlList表中:
CREATE TABLE AccessControlList
(
ACL_ID int not null,
... any needed information
);
另一个表可以保存列表中包含的用户组:
CREATE TABLE AccessControlListItem
(
ACL_ID int not null,
USER_GROUP_ID not null
);
定义了哪些用户组可以访问这些AccessControlList元素。如果我有 100 个不同的组,我可以定义来自 3 个组的用户可以访问该行。
AccessControlLists由于可能存在数百万个业务对象,我认为为不同的组合创建行可能会更好。例如,如果用户组“A”、“B”和“C”包含在 ID = 125 的列表中,我可以将此 ACL 重用于具有相同组合的任何业务对象。如果有人将组“D”添加到 ACL,我需要创建一个具有新 ID 的新列表。然后 ACL 将被“延迟创建”:每次我需要一个新的组合时,我都会创建一个新列表。当然,我需要一个“垃圾收集器”来消除不再使用的列表,或者我留下它们,因为它们可以在以后创建。
好的,现在我将AccessControlList表中的元素数量从数百万个对象减少到数千个。无论如何,我相信设计对于查询来说会非常昂贵。除了 ACL 之外,没有任何其他过滤器的订单查询可能是这样的:
select <columns> from Orders where ACL_ID IN (
select ACL_ID from AccessControlList where USER_GROUP_ID IN (
<select the groups for the current user>)
)
用户可能是 100 个不同 ACL 中的成员。
问题
有类似设计的经验吗?关于其他实现方式的任何评论?如果有任何想法或意见,我将不胜感激。非常感谢。
我喜欢计算和具体化细化对象访问权限,以便数据库在运行时强制执行它们既简单又便宜。并简化关系模型。
每次创建组或订单时,您都会使用(可能很复杂的)业务逻辑和配置数据生成 AccessControl 条目,但存储、审计和实施安全性很简单。