如何为访问控制列表（ACL）建立数据模型

波罗僧

当您只在与具有某种级别对离散资源访问权限的离散用户打交道时，如何为将充当访问控制列表（ACL）的数据库表建模是很明显的。像这样的东西：
TABLE acl ( user_id INT, resource_id INT, access_type INT )
…其中access_type是一个表示类似以下内容的数字：
: r5 s( T5 `  L5 Z6 n3 A" |" e# w0（或缺少user_id和resource_id的记录）表示没有访问权限
- I' ^; k& T5 l1表示只读
2表示完全控制
但是，当您遇到这样的场景时，例如用户可以成为一个或多个组的成员，并且组可以包含其他组，则它变得越来越棘手。然后，资源可以是包含其他资源的文件夹。
除了在运行时执行一堆递归查询以确定用户对资源的访问级别这一明显差的方法之外，这些方案又将如何得到处理？是否有用于设计这样的ACL的通用设计？
, K; l  P- Z7 U4 E               
解决方案:
               

2 M- c9 V6 m/ E% d6 u
                您是否正在使用支持connect by或类似功能的数据库？在oracle中，我实现了以下内容。
4 w1 H1 E( }4 RTable Group //Just the parent groups
/ c& a8 |3 W5 B4 e$ N4 R* C{
+ a5 q+ D' d; C4 r% i+ x. b; N    groupCode varchar
    groupDesc
}
Table groupMap //associates groups with other groups
{
7 N, h  ~  h: j7 U3 X0 N    parentGroup
    childGroup
3 v4 z$ p! J4 h. t; @1 t}
4 L) m$ s2 C8 Mtable userGroup //can assign user to more than one group
3 }  `- I6 N, h5 j9 Y5 }0 d{
: M8 f, P# a- Y' R3 e0 [# S* `: f    userId
+ A" [% ^' o2 w$ N8 i6 [: T    groupCode
}
然后用于connect by获取用户的所有子组
SELECT rm.CHILDGroup as roleCode
FROM groupMap rm
CONNECT BY PRIOR rm.CHILDGroup = rm.PARENTGroup
START WITH rm.CHILDGroup in
; i1 L7 r* S  L  k3 l0 S  (SELECT ur.groupCode
   FROM userGroup ur
$ H2 y: h; z, k2 `: a- u   WHERE ur.userId = &userId);
/ g( Q$ @2 X* Y3 y' V2 _该查询将获取分配给用户的userGroup所有组以及分配给用户所属组的所有子组。