- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个“关系”模型,具有以下类型:
用户可以属于多个组,组可以有多个用户。
项目具有允许读取或对其执行操作的用户和组。
最常见的查询是,用户通过其 id 查询项目。为此,必须检查用户是否具有查询项目所需的权限。换句话说,它或其组之一必须对该项目具有权限。
到目前为止我想到了什么
一个解决方案是,项目具有以下属性:
用户
项目:
'data'
: 此项目的数据<user/group-id>
: 此用户或组的权限所以要检查权限,必须
问题
我觉得这会导致大量查询,尤其是当群组数量很多时。
有没有办法在没有如此昂贵的权限检查的情况下实现这种权限模型(或类似的权限模型)?
最佳答案
简短回答——将您的权限与您的数据分开。
长答案——您应该使用一个轻量级权限表来存储组与用户和项目之间的关系。你不应该在你的项目上使用任何与权限相关的排序键,除非你有特定的理由允许具有相同 ID 的项目(例如存储项目的版本历史),否则你可能根本不应该使用任何排序键为您的元素。
权限表有两个属性,我称之为entity
(散列键)和relationship
(排序键)。 (不过,您可以使用任何您想要的名称。)该表还有一个 GSI,其中 relationship
是散列键,entity
是排序键。由于此表的行很小,因此查询成本非常低。您可能会读取超过 100 行并且仅消耗 1 个 RCU。
entity
属性只是一个 userId 或 groupId。 relationship
属性是关系类型和另一个 ID 的组合。 (您可以使用任何您想要的 ID,但我将在所有示例中使用数字。)
这是一些示例数据:
entity | relationship
===========================================
user-0001 | member-of:group-1000
user-0001 | member-of:group-3000
user-0002 | can-access:item-1111
user-0002 | member-of:group-2000
group-1000 | can-access:item-1111
group-2000 | can-access:item-2222
要查明用户是否有权访问给定项目,您需要两个查询。在权限表中查询 userId,并在 GSI 中查询“can-access”itemId 关系。然后,比较两个查询结果,看看是否有共同的组(或者用户是否有直接访问该项目的权限)。
例如,如果您想查看 user-0001
是否可以访问 item-1111
,您可以查询 user-0001
和返回 [member-of:group-1000, member-of:group-3000]
。然后您将向 GSI 查询 can-access:item-1111
,您将返回 [user-0002, group-1000]
。比较这两个结果,您会发现 user-0001
可以通过 group-1000
访问 item-1111
。
此模型的另一个好处是它足够灵活,可以处理其他权限用例。以下是该数据的示例:
entity | relationship
===========================================
user-0001 | admin-of:group-1000
user-0001 | member-of:group-1000
user-0002 | member-of:group-2000
user-0002 | owner-of:item-1111
group-1000 | can-write:item-1111
group-1000 | can-read:item-1111
group-2000 | can-read:item-1111
在这个例子中,我们还有可以管理组的用户,我们将项目的读写权限分离出来,我们可以将用户或组定义为项目的所有者(这可能意味着他们可以修改谁有权读取或写入该项目)。
需要注意的是,这假设组不能嵌套。如果组可以嵌套,那么您将需要更多查询来遍历嵌套组的层次结构,您最好使用 AWS Neptune 或其他数据库来存储您的权限。
关于amazon-dynamodb - DynamoDB 中用户和用户组的权限模型,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56807524/
有人可以向我解释该声明在C++中的含义吗?我从未见过这样的声明,只是对它的含义和作用感到困惑: int ix((dx > 0) - (dx > 1)); 最佳答案 您可以在括号或花括号中使用初始化程序
我有一个带有单词的mysql数据库。我用 while 语句打印所有单词。所以我觉得: 马铃薯番茄生菜 一切正常,但我想按长度对单词进行排序。我试过: if(strlen($go['words']) =
我忠实的路径遍历方法不再有效——它将空格视为分隔符。好久没做批处理编程了。 使用 FOR 循环时,唯一允许使用分隔符的是 FOR/F 选项。 我不想创建一个包含路径的临时文件,希望做如下的事情: C:
新建一个表: ? 1
我有一些带有多行块的文本文件,例如 2011/01/01 13:13:13,, Some Certain Text,=, [ certain text [
我想在 Vim 中文件的不同部分之间进行一些很好的分离: 我想用#'s 填充一行,然后在中间写上我的标题: ############################# 居中标题############
我该如何逃生 "*"至 "\*"在clojure?似乎无法让它工作: (s/replace "A*B" #"*" "*")生产 "A*B" (当然) (s/replace "A*B" #"*" "\*
这周我一直在努力更熟悉 C。我一直在阅读C Primer Plus (5th Edition) 但是我仍然在使用变量和指针时遇到了一些麻烦。 这是我用来测试的脚本: int main (int arg
在 Dart 中,初始化 List 有什么区别?使用 new 运算符并使用文字对其进行初始化? 情况1: List args = new List(2); args[0] = 1; args[1] =
我有一个字符向量,如下所示: "Internet" "Internet" "-1" "-5" "Internet" "Internet" 我想替换所有负数值的值(-1、-5 等
我有一个名为 gen 的数据框,如下所示 A B C D E 1 NA 4.35 35.3 3.36 4.8
我有一个字符向量,如下所示: "Internet" "Internet" "-1" "-5" "Internet" "Internet" 我想替换所有负数值的值(-1、-5 等
我想知道为什么 CMake 中的变量经常用美元符号和大括号括起来。例如,我看到这个电话in a CMake tutorial . include_directories(${PROJECT_BINAR
我正在尝试做这样的事情 $this->db->count_all("grant_money")->where('id',5); 这可能吗? 如果有任何其他方法可以做到这一点,请告诉我。谢谢 我想像上面
为什么这是有效的: int a = 5; int *aPtr = &a; printf("%i", *aPtr); 但这不是: int a = 5; int aPtr = &a; printf("%i
假设我有一个格式为“11.23.13”的日期字符串,我想用“/”替换每个点,使其看起来像“11/23/13”。 这是我的代码,但它无法正常工作,因为正则表达式看到“.”并将其解释为匹配每个字符而不是新
如何在键盘输入的字符处打印*? 例子: 如果我在控制台中输入:mouli,那么它应该将 m 替换为 *,然后是 o用 * 等等。 最佳答案 使用标准 API 无法解决此问题。如果这确实是一个明确的要求
我最近开始学习 Javascript,同时对卡在这段代码中的代码进行了一些实验: var k = { ab: "hi", func: function() { cons
我需要用“.”替换第一列中的重复项 例如: name1 name1 name1 name2 name2 name3 name3 我需要输出: name1 . . name2 . name3 . 我有这
我有以下两个表 education 和 jobs,每个表都有时间戳字段。在续集语句中,我想选择并确定两个表中保存的两个时间戳中哪个是最新的。 我已经尝试了以下但并不愉快; SELECT e.Sta
我是一名优秀的程序员,十分优秀!