有没有比访问控制列表(ACL)“更好”的东西?

时间:2009-07-14 13:49:41

标签: security acl

我花了一些时间随便仔细考虑我的头脑中的ACL。我可以看到ACL的真正好处及其灵活性。但是,对于一个可能拥有数十万用户(如果不是数百万用户)的项目实施ACL,我有一些严重的担忧。所有这些都连接到成千上万的资源(例如图像,消息,BLOB)。

在我看来,处理和管理应用于成千上万用户的数百万资源的规则的开销将是淫秽的。

但后来我没有看到任何其他选择。除了用户名,密码,用户级还有吗?

4 个答案:

答案 0 :(得分:3)

我不会太害怕ACL的任何性能影响。

如果结果很慢,请对其进行分析并对其进行优化。

其中没有任何东西本质上如此慢以至于不适合大型项目。

答案 1 :(得分:3)

大多数公司最终都会受到RBAC和ACL实施的压力。他们是否意识到这一点。未来是基于属性的访问控制。从“约翰尼可以访问X,因为他是管理员角色”来简化事情。 “约翰尼可以访问X,因为它在8-5之间,他有清关X以及业务部门Y的一部分。”

Google XACML并在角色http://vimeo.com/2723800上观看这个有趣的演示文稿。 Zed钉了它。

答案 2 :(得分:1)

使用google进行“基于角色的访问控制”和“基于域的网络管理”。

答案 3 :(得分:0)

如果您不提前计划,管理ACL(或任何等效的)可能是一个熊。最重要的一件事是授予群组访问权限,而不是个人群体,从而避免冗余。当一个组包含其他组时,这尤其相关。