题
我花了一些时间随便酝酿的ACL在我的头上。我可以看到ACL的实际收益和灵活性。但我有一些严重的问题,当涉及到实施的ACL如果不是数百万,可能有成千上万的用户,一个项目。某种方式全部连接到数十万的资源(如图片,消息,BLOB)的
在我看来,在处理开销和管理应用数以百万计的资源,为用户成千上万的规则是淫秽。
但是,我还没有看到任何的替代品。是否有任何超越用户名,密码,用户级?
解决方案
有“基于角色的访问控制”和“基于域的网络管理”一谷歌。
其他提示
我不会太害怕的ACL中的任何性能的影响。
如果它原来是缓慢的,轮廓,并优化它。
有什么它就是天生如此之慢,以使它不适合大型项目。
大多数公司结束他们的RBAC和或ACL实现的重量下被压碎。他们是否意识到它的存在。未来是基于属性的访问控制。从去简化事情“因为他是在管理角色约翰尼可以访问X”。到“因为它是8-5之间,他有间隙X以及业务单元的Y部分约翰尼可以访问X。”
谷歌XACML和观看角色 http://vimeo.com/2723800 这个有趣的演示文稿。 Zed的指甲吧。
管理访问控制列表(或任何等价物)可以是一个熊市,如果你不提前规划。有一两件事,使最大的区别是授予访问群体,而不是个人,避免重复。这是特别相关的,当基团含有其它基团。
不隶属于 StackOverflow