Дизайн БД для имплементации users/groups/roles

[Seryi]

Как вы считаете верным имплементировать дизайн базы данных где поддерживаются понятия
users
groups
roles

Вместе с тем хотелось бы имплементировать систему безопасности похожую на то что есть в Windows.
Есть ли уже какие-то готовые или общепринятые решения?

[Dmitry67]

Нужно создать таблицы users,groups,roles
Если серьезно то у нас точно такая же база реализована
Вачале запихнули права в ActiveDirectory, а когда поня что по скорости это полный отстой да и ролей стало не хватать быстренько перешли на SQL

[Seryi]

Нужно создать таблицы users,groups,roles
Если серьезно то у нас точно такая же база реализована
Вачале запихнули права в ActiveDirectory, а когда поня что по скорости это полный отстой да и ролей стало не хватать быстренько перешли на SQL

А какой дизайн таблиц вы использовали для users, groups, roles?
Как вы организовывали security descriptor на объектах?

[Kycb-Kycb]

Вачале запихнули права в ActiveDirectory, а когда поня что по скорости это полный отстой да и ролей стало не хватать быстренько перешли на SQL

А можно подробней про проблемы со скоростью?
Что тормозило (создание users, authentication...) и на сколько сильно?

[Strannik223]

Я реализовывал

Вычисление эффективный прав, то есть тех которые берутся как сумма всех прав из всех групп где юзер учавствует + права юзера на объект непосредственно + если хотя бы одно из прав is "access denied" то результат должен быть отказом доступа

Как видим процедура довольно дорогая, поэтому на каждый объект для каждого юзера имеющего хоть какие то права имеем запись в специальной таблице "EffectiveRights", которая пересчитывается когда меняются права в основной таблице ACL, или юзер меняет свое членство в группе (естественно пересчитываем только релевантные записи)

Далее на моем проекте это породило гигантских размеров таблицу EffectiveRights, поэтому я изменил алгоритм так что если объект не имеет собственных permissions, то права наследуются из ближайшего предка который таковые имеет и соответсвенно в EffectiveRights есть только записи у который permissions собственные а не унаследованые.

Таким образом для того что бы получить права на объект находим ближайшего предка (включая самого себя ) в таблице ACL, и находим эффективные права для данного юзера в таблице EffectiveRights.

Все выразилось в нескольких красивых view, и работает очень эффективно.
Вопросы организации максимально эффективных алгоритмов поиска иерархий в плоской базе это отдельный вопрос :)

[Dmitry67]

По повдудизайа уже рссказали
По поводу тормозов в AD

Есть миллион документов
Надо показать те на которые у пользователя есть права
В SQL идет join с таблицей где сидят права и все выводится очен быстро

В AD... ну в общем Вы ужепредставили сколько запрашивается права на милион документов в цикле?

[Бродяга]

Сейчас довожу проект до ума который уже не один год тут писали. Использую оракл и oracle virtual private database довольно быстро и очень удобно.

[YellowMan]

Я тоже делал/делаю уже второй год - почти то же самое что г-н Strannik223...кроме того что у меня sp а не views.
Интересно как совпало

[Strannik223]

Я тоже делал/делаю уже второй год - почти то же самое что г-н Strannik223...кроме того что у меня sp а не views.
Интересно как совпало :)

Да у меня то же хранимки но что бы уменьшить количество повторяющегося кода и упростить его я написал вьюшки которые возвращают эффективные права для любого объекта

[Palych]

По повдудизайа уже рссказали
По поводу тормозов в AD

Есть миллион документов
Надо показать те на которые у пользователя есть права
В SQL идет join с таблицей где сидят права и все выводится очен быстро

В AD... ну в общем Вы ужепредставили сколько запрашивается права на милион документов в цикле?

AD - eto LDAP?
Esli tak - zachem loop?