Gibt es etwas "Besseres" als Access Control Lists (ACLs)?

Question

Ich habe in meinem Kopf einige Zeit damit verbracht, über ACLs nachzudenken. Ich kann den wirklichen Nutzen von ACLs und deren Flexibilität sehen. Aber ich habe einige ernste Bedenken, wenn es darum geht, ACLs für ein Projekt zu implementieren, das Hunderttausende von Benutzern, wenn nicht Millionen, haben könnte. Alle sind mit Hunderttausenden von Ressourcen (wie Bildern, Nachrichten, BLOBs) verbunden.

Es scheint mir, dass der Overhead bei der Verarbeitung und Verwaltung der Regeln, die für Hunderttausende von Benutzern auf Millionen von Ressourcen angewendet werden, obszön wäre.

Aber dann habe ich keine Alternativen gesehen. Gibt es noch andere als Benutzername, Passwort, Benutzerebene?

Answer 1

Fragen Sie nach "Role Based Access Control" und "Domain-Based Network Management".

Answer 2

Ich hätte keine Angst vor Leistungseinbußen von ACL.

Wenn es sich als langsam herausstellt, profilieren Sie es und optimieren Sie es.

Nichts ist so langsam, dass es für große Projekte ungeeignet ist.

Answer 3

Das Verwalten von ACLs (oder einem entsprechenden Gegenstück) kann ein Bär sein, wenn Sie nicht vorausplanen. Die einzige Sache, die den größten Unterschied macht, ist der Zugang zu Gruppen, nicht Einzelpersonen, um Redundanzen zu vermeiden. Dies ist besonders relevant, wenn eine Gruppe andere Gruppen enthält.

Answer 4

Die meisten Unternehmen werden unter dem Gewicht ihrer RBAC- und/oder ACL-Implementierung zerquetscht. Ob sie es merken oder nicht. Die Zukunft ist die attributbasierte Zugriffssteuerung. Vereinfacht die Dinge, indem Sie von "Johnny kann auf X zugreifen, da er in der Admin-Rolle ist" gehen. zu "Johnny kann auf X zugreifen, weil es zwischen 8-5 ist und er hat Abstand X sowie Teil von Geschäftseinheit Y."

Google XACML und sehen Sie sich diese amüsante Präsentation auf Rollen http://vimeo.com/2723800. Zed nagelt es.