php - 高级访问控制库

我有兴趣为用户执行高级访问控制以访问软件系统中的资源。我在医疗保健IT方面工作，年轻的我经常低估role-based access control in healthcare的复杂性。但是这个问题应该适用于具有复杂ACL要求的任何人。

很长一段时间php gacl一直是我的首选库，用于处理Health IT系统内部非常复杂的ACL控制问题。但我现在正在更多地使用javascript和节点。我已经在npm中搜索了库，以便以通用的方式进行访问控制。

我想支持定义操作而不仅仅是用户和资源（3层而不是2），我想拥有用户，操作和资源组，并且暗示我希望拥有ACL继承。

从the Star Wars themed manual到该库的经典示例是以下规则：

所有工作人员都有（访问，配置和使用）访问权限枪支，发动机，驾驶舱和休息室，期待chewie。
所有机器人都有（访问和使用）访问驾驶舱，但只有R2D2有配置对引擎的访问。
Han拥有所有类型的访问权限资源类型。

这里的基本概念包括这样的概念：您可以制定适用于任意一组用户（即机组人员，乘客或机器人）或个人（Han和Chewie）的规则，您可以拥有不同类型的访问权限（访问，配置，使用）或访问组（维护访问=配置+修复+使用）到不同的资源（引擎和驾驶舱），也可以分组，（战斗站=驾驶舱+枪支）。

这允许配置极其复杂的访问控制规则，具有相对简单的基于组的管理。

到目前为止，我在php-gacl之外没有看到过这样的内容。我已经看了一下基于javascript的精彩ACL项目，所有这些项目都宣传简单易用，而不是全面。其他典型的php ACL库（即Zend ACL）

也是如此

有人在为节点工作“高级ACL”项目吗？是否有一个更好的方法，我应该在某处寻找？

php-gacl有三个部分，一个是基于php的管理GUI（这无疑是过于复杂的），以及一个关于规则的CRUD的API（我认为可以很容易地转换为REST接口）和一个非常小的文件，提供ACL检查功能。

从技术上讲，只有最后一种类型需要完全移植到节点才能使该软件模型正常工作？

在更深层次上，我想了解哪些方法已成功用于处理此问题。这个问题通常如何解决？对于那些根据节点/ javascript甚至特定数据库方法（关系与非关系）有效讨论此问题的人的奖励积分。我知道有很多理论基础来做这个对/错（即对RBAC和ACL有很多意见）。我想要的是理论上坚实的，或几乎坚实的东西，从图书馆的角度来看仍然“正常”。我专注于Javascript，但是理解其他语言如何实际解决这个问题会很好。

如果您可以避免使用任何类型的ACL，通常情况下会更好。它们管理起来很复杂。您最好建模三级安全检查：