gpt4 book ai didi

amazon-dynamodb - DynamoDB 中用户和用户组的权限模型

转载 作者:行者123 更新时间:2023-12-02 16:55:09 25 4
gpt4 key购买 nike

我有一个“关系”模型,具有以下类型:

  • 用户
  • 用户组
  • 项目

用户可以属于多个组,组可以有多个用户。

项目具有允许读取或对其执行操作的用户和组。

最常见的查询是,用户通过其 id 查询项目。为此,必须检查用户是否具有查询项目所需的权限。换句话说,它或其组之一必须对该项目具有权限。

到目前为止我想到了什么

一个解决方案是,项目具有以下属性:

  • 用户

    • 主键:user-id
    • 没有排序键
    • 属性:组列表
  • 项目:

    • 主键:item-id
    • 排序键:
      • 'data' : 此项目的数据
      • <user/group-id> : 此用户或组的权限

所以要检查权限,必须

  • 获取用户所在的组
  • 通过使用用户 ID 和所有组 ID 作为排序键(使用 BatchGetItems)查询项目 ID 来获取权限。
  • 检查用户或其任何组是否具有所需的权限。

问题

我觉得这会导致大量查询,尤其是当群组数量很多时。

有没有办法在没有如此昂贵的权限检查的情况下实现这种权限模型(或类似的权限模型)?

最佳答案

简短回答——将您的权限与您的数据分开。

长答案——您应该使用一个轻量级权限表来存储组与用户和项目之间的关系。你不应该在你的项目上使用任何与权限相关的排序键,除非你有特定的理由允许具有相同 ID 的项目(例如存储项目的版本历史),否则你可能根本不应该使用任何排序键为您的元素。

权限表有两个属性,我称之为entity(散列键)和relationship(排序键)。 (不过,您可以使用任何您想要的名称。)该表还有一个 GSI,其中 relationship 是散列键,entity 是排序键。由于此表的行很小,因此查询成本非常低。您可能会读取超过 100 行并且仅消耗 1 个 RCU。

entity 属性只是一个 userId 或 groupId。 relationship 属性是关系类型和另一个 ID 的组合。 (您可以使用任何您想要的 ID,但我将在所有示例中使用数字。)

这是一些示例数据:

entity      | relationship
===========================================
user-0001 | member-of:group-1000
user-0001 | member-of:group-3000
user-0002 | can-access:item-1111
user-0002 | member-of:group-2000
group-1000 | can-access:item-1111
group-2000 | can-access:item-2222

要查明用户是否有权访问给定项目,您需要两个查询。在权限表中查询 userId,并在 GSI 中查询“can-access”itemId 关系。然后,比较两个查询结果,看看是否有共同的组(或者用户是否有直接访问该项目的权限)。

例如,如果您想查看 user-0001 是否可以访问 item-1111,您可以查询 user-0001 和返回 [member-of:group-1000, member-of:group-3000]。然后您将向 GSI 查询 can-access:item-1111,您将返回 [user-0002, group-1000]。比较这两个结果,您会发现 user-0001 可以通过 group-1000 访问 item-1111

此模型的另一个好处是它足够灵活,可以处理其他权限用例。以下是该数据的示例:

entity      | relationship
===========================================
user-0001 | admin-of:group-1000
user-0001 | member-of:group-1000
user-0002 | member-of:group-2000
user-0002 | owner-of:item-1111
group-1000 | can-write:item-1111
group-1000 | can-read:item-1111
group-2000 | can-read:item-1111

在这个例子中,我们还有可以管理组的用户,我们将项目的读写权限分离出来,我们可以将用户或组定义为项目的所有者(这可能意味着他们可以修改谁有权读取或写入该项目)。


需要注意的是,这假设组不能嵌套。如果组可以嵌套,那么您将需要更多查询来遍历嵌套组的层次结构,您最好使用 AWS Neptune 或其他数据库来存储您的权限。

关于amazon-dynamodb - DynamoDB 中用户和用户组的权限模型,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56807524/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com