设计一个复杂的访问/权限系统，我应该采取什么方法

Question

我现在使用 PHP+MySQL，但实际上可以采用任何工具。

我有一个大约有 50000 个用户的系统，这些用户被排列成组，排列成部门，排列成组织。

我的系统内容包中有。每个包都有特定的权限。即每个包要么是

1. 公共的（世界），
2. 要么是联盟的（全部注册到我的系统）
3. 私有的（可以由单个用户+组+部门+组织的任意组合访问）

为了让事情变得更困难，每个内容可能都有一个先决内容，意味着您在学习内容 A 之前不能学习内容 B（大学课程...）。

我想知道如何管理它，现在一切都在 MySQL 中并且工作正常，只是每次我创建具有先决条件的内容时，我必须能够仅选择那些具有更宽松访问权限的内容片段作为先决条件，这意味着系统中的每个部分都需要进行大量计算（我有几千个）。

现在，假设我有内容 c，它依赖于 B，而 B 又依赖于 A...
我向每个用户展示的目录是什么？想象一下当用户搜索整个系统时我必须对每个内容片段进行的计算。

有任何方向/建议/已知系统已经做到了这一点吗？

Answer 1

我意识到这个问题已经持续了两年多了，现在您可能已经解决了您的问题。不过，这里有一些提示可以帮助您解决所面临的问题。

您需要外部化您的授权逻辑和业务逻辑。这意味着您想要研究业务规则引擎和授权规则引擎。

该领域的标准是 BPEL（针对业务流程）和 XACML（针对授权）。

您可以使用 XACML 来确定谁可以查看/编辑/获取某些内容。您可以使用 BPEL（或 BPM 语言）来确定参加一门课程的规则，然后才能参加另一门课程。