2

我正在创建一个细粒度的权限系统,但在决定最好的方法时遇到了麻烦。我使用的数据库是 Postgres。

基本上,我将有 3 张桌子:

permissions
-----------
p_id, name, description

permissions_groups
------------------
pg_id, name, description

permissions_users
-----------------
pu_id, user_id

任何以 '_id' 结尾的都是一个integer,其余的都是varcharor text

权限系统将成为更大系统的一部分,我依赖另一个表中的用户 ID。

这是我卡住的地方。我有两个想法:

理念一

permissions_group将有一个名为的列permissions,它将是一个整数数组。这将包含p_id该权限组的所有 s。

permissions_users将有一个名为的列pg_ids,它将是一个包含用户拥有的所有权限组的整数数组,以及一个名为permissions(int array) 的列,它具有所有p_id不属于组的已分配权限。

样本数据:

permissions
-----------
1, add_user, Can create a user
2, delete_user, Can delete a user
3, view_users, Can view all users
4, random_perm, Some example permission

permissions_groups
-----------------
1, user_management, User management, [1,2,3]
// This group contains permissions 1,2, and 3

permissions_users
-----------------
1, 1, [1], [4]
// This user links to user with id of 1, has permissions group 1 and permission 4

想法 2

第二个想法是更经典的SQL。3张桌子将保持不变。将有 2 个新表:

permissions_groups_link
-----------------------
pgl_id, pg_id, p_id

permissions_users_link
----------------------
pul_id, pu_id, p_id, pg_id

现在它将像这样工作:

permissions_users[pu_id]
  |
  V
permissions_users_link[pu_id]
  |
  V
p_id        OR        pg_id
  |                     |
  V                     V
permissions[p_id] <- permissions_groups[pg_id]

样本数据:

permissions
-----------
1, add_user, Can create a user
2, delete_user, Can delete a user
3, view_users, Can view all users
4, random_perm, Some example permission

permissions_groups
-----------------
1, user_management, User management

permissions_groups_link
-----------------------
1, 1, 1
2, 1, 2
3, 1, 3
// Assign permissions 1,2, and 3 to group 1

permissions_users
-----------------
1, 1

permissions_users_link
----------------------
1, 1, 4, NULL
2, 1, NULL, 1
// Assign permission 4 to user 1
// Assign group 1 to user 1

概括

最后,所有这些数据都将汇总到一个列表中,该列表包含用户拥有的所有权限,而与组无关。因此,对于上面的示例,服务器端代码会将所有这些聚合到:

Permissions for user 1:
1 => add_user
2 => delete_user
3 => view_users
4 => random_perm

这些组将仅用于视觉区分和每个用户轻松应用权限。

我的问题

这些想法中的哪一个将扩展得最好并且最快?假设在实时环境中,有 10000 个用户和 1000 个权限,每个用户平均有 500 个权限。

或者这两个想法真的很糟糕,我是否忽略了一些可以使它更容易的基本 RDBMS 概念?

4

1 回答 1

1

不会使用数组列来存储这些权限,尤其是如果您要为每个用户拥有 500 个权限。数组列不允许您对权限/组和权限/用户关系有任何外键约束

在 3 个选项中,我会选择最后一个选项;

用户 N:N 权限组 N:N 权限 用户 N:N 组

如果权限没有定期更新,您可以考虑使用“NESTED”或 MPTT 表来存储权限,这将允许在多个级别上设置权限,例如,用户对用户具有“全部”权限和/或让组继承权限来自其他群体。

您可能会发现有关 ACL 的解释很有趣: http ://book.cakephp.org/2.0/en/core-libraries/components/access-control-lists.html

于 2013-02-03T23:43:03.603 回答