3

ファイルのようなリソースがあるとしましょう。誰が、いつ、どこで、個々のファイルにアクセスできるかは問題ではありません。独自の属性を持ち、他のファイル、ディレクトリ、および/またはその他のアイテムを含むディレクトリのようなリソースがあると仮定します。現在、ディレクトリへのアクセス権はあるが、一部のファイルまたはサブディレクトリへのアクセス権がない (名前/タイトルを表示することさえできない) ユーザーがいます。

ポリシーの決定がビジネス ロジックから分離されている場合に、ユーザーがアクセスできるファイルのみを含むようにディレクトリをフィルター処理する方法。各ファイルを個別にチェックする必要がありますか?

はいの場合、ディレクトリに 1,000 万個のファイルが含まれており、ユーザーがいくつかのファイルにしかアクセスできない場合、そのファイルを識別する方法は?

4

1 に答える 1

2

まず、リソースが何であるかを決定する必要があります。それはフォルダーですか、それともファイルですか? 抽象的な意味でのファイル(フォルダとファイルの両方を意味する)?祖先を表示できる場合にのみ、ファイルを表示できるということですか? つまり、ヒエラルキーがあります。

これらの質問はさておき、大量のデータ セットに対するアクセス制御に関しては、次の 2 つの方法があります。

  1. 複数の決定プロファイルを使用して、複数のアイテムの承認リクエストを作成します。Multiple Decision Profile (MDP) リクエストは、Can Alice view files A and B and C and ... Z ?のようになります。PDP は、元の質問にあった項目と同じ数の決定で応答します。MDP は、数千以下のアイテムに適しています。
  2. アイテムの数が非常に多い場合、またはアイテムの数が不明な場合は、リバース クエリ(ARQ)と呼ばれる逆のプロセスを実行できます。これにより、はい/いいえの質問をする代わりに、Tellなどの自由回答式の質問をします。アリスが閲覧できるファイルを教えてください。PDP は、フィルター式 (例: Permit if docStatus==draft AND docDept=Sales )で応答します。次に、PEP にフィルターを適切なフィルター (ファイル フィルターなど) に変換させます。
于 2015-02-11T12:10:29.027 に答える