Meine DocumentDb App hat so ziemlich eine mandantenfähige Architektur. Ich wollte gleich zu Beginn einen Partitionsschlüssel verwenden, um sicherzustellen, dass das Ganze nicht neu gestaltet werden muss, wenn es populär wird. Die aktuelle Architektur erfordert eine einzige heterogene Sammlung. Eine Sammlung pro Tenant-Architektur wird nicht funktionieren.DocumentDB Benutzerberechtigungen - nach Partitionsschlüssel?
Alle Zugriffe würden die Mieter-ID enthalten, um ein Auslaufen zu verhindern. Darum geht es mir nicht.
Ich brauche clientseitige Lesezugriff, so dass ich geplant hatte, dass mein Server Ressourcen Tokens basierend auf Berechtigungen für jeden Benutzer ausgeben.
Aber ich habe in der Dokumentation festgestellt, dass Sie nur eine Berechtigung pro Benutzer pro Ressource haben können. Ich möchte keine Berechtigungen für jedes Dokument erstellen. Grundsätzlich möchte ich eine Berechtigung für jeden Partitionsschlüssel. Auf diese Weise wird die Tenant-ID zum einschränkenden Faktor bei clientseitigen Lesevorgängen.
Grundsätzlich hat das Clientgerät nur Lesezugriff auf alle Dokumente in der Sammlung, die seinen Partitionsschlüssel teilen.
Sollte das Ressourcentoken kompromittiert sein, dauert es nur eine Stunde und es würde niemandem Zugriff auf die gesamte Sammlung geben, nur die Daten dieses Mandanten.
Kann ich einen einzelnen DocumentDb-Datenbankbenutzer mit mehreren schreibgeschützten Berechtigungen für dieselbe Sammlung haben, wenn jede Berechtigung einen anderen Partitionsschlüssel hat?
TIA
Randnotiz - können Sie bitte bitte einen Link zu der Dokumentation hinzufügen das sagt das? Dies sollte vom DocumentDB-Team korrigiert werden. –