【问题标题】:Is there anything "better" than Access Control Lists (ACLs)?有什么比访问控制列表(ACL)“更好”的吗?
【发布时间】:2009-07-14 13:49:41
【问题描述】:

我花了一些时间在脑海中漫不经心地考虑 ACL。我可以看到 ACL 的真正好处及其灵活性。但是在为一个可能拥有数十万甚至数百万用户的项目实施 ACL 时,我有一些严重的担忧。所有这些都以某种方式连接到成千上万的资源(例如图像、消息、BLOB)。

在我看来,为数十万用户处理和管理应用于数百万资源的规则的开销将是可耻的。

但是我还没有看到任何替代方案。除了用户名、密码、用户级别之外还有什么?

【问题讨论】:

  • 你能定义ACL吗?我假设您指的是访问控制列表...

标签: security acl


【解决方案1】:

我不会太害怕 ACL 对性能的任何影响。

如果结果很慢,请对其进行分析并优化它。

它本身并没有什么慢到不适合大型项目的地方。

【讨论】:

    【解决方案2】:

    大多数公司最终都被其 RBAC 和/或 ACL 实施所压垮。不管他们是否意识到。未来是基于属性的访问控制。通过从“Johnny 可以访问 X,因为他是管理员角色”来简化事情。到“Johnny 可以访问 X,因为它介于 8-5 之间,并且他拥有许可 X 以及业务部门 Y 的一部分。”

    Google XACML 并在 Roles http://vimeo.com/2723800 上观看这个有趣的演示。 Zed 搞定了。

    【讨论】:

      【解决方案3】:

      有一个“基于角色的访问控制”和“基于域的网络管理”的 google。

      【讨论】:

        【解决方案4】:

        如果您不提前计划,管理 ACL(或任何等效项)可能会很麻烦。产生最大差异的一件事是授予团体而不是个人的访问权限,从而避免冗余。当一个组包含其他组时,这一点尤其重要。

        【讨论】:

          猜你喜欢
          • 2013-11-24
          • 1970-01-01
          • 1970-01-01
          • 1970-01-01
          • 2012-08-28
          • 1970-01-01
          • 1970-01-01
          • 2011-10-15
          • 1970-01-01
          相关资源
          最近更新 更多