基于角色的可扩展身份验证

Question

我目前正在为许多用户拥有不同访问权限的资源设计一个基于角色的身份验证系统。

角色可以是单个用户，也可以是一组角色（因此角色是角色树）。 （参见下图）

一个资源可以有多个身份验证属性（如读、写、删除），其中每个这是允许访问该操作的角色列表。 （见下图）

问题是，如果我想检查用户是否有权访问某个属性，在最坏的情况下我必须遍历 n 棵树（其中 n 是分配给某个属性的角色数量）。

例如，要检查“Max”是否可以读取该属性，我可能必须检查“营销”、“管理”和“管理”树是否包含“Max”。

---

您是否知道任何算法或替代方法可以消除相当昂贵的树搜索，同时维护角色系统或同样强大的东西。

完美的情况是对 n 个角色进行类似 O(log(n)) 的查找。

谢谢， 芬恩

Answer 1

您是否对此进行了测量并确定此遍历是性能瓶颈？

我从未见过一个具有如此多角色/级别的系统，以至于遍历这种结构的成本会成为一个问题。 如果树真的那么大，我会更担心管理员将很难理解谁有权做什么。

关于可伸缩性，我通常会使用 ASP.NET 缓存来缓存资源和角色之间映射的完整树，并设置合适的缓存超时。 并单独缓存从用户到角色的映射（例如在会话中或使用 ASP.NET 缓存中的用户特定键）。

与每次访问数据库相比，从缓存访问信息通常快得令人眼花缭乱。

Answer 2

如果您将角色放入 SQL 数据库中，查找将基本上按照您所描述的方式执行。 如果您有兴趣，我可以帮助您了解数据库结构。

Answer 3

您需要反转您的指针。

“Harry”是“Site2 管理员”的成员，对“Site2”具有“管理员”访问权限，因此他可以“删除”、“写入”和“读取该内容。

为什么“管理”应该是“ Harry”和“Joe”我不清楚。Harry 是一个站点的管理员，但只是另一个站点的用户，Joe 反之亦然。