在 MongoDB 中建模访问控制

Question

有人有在 MongoDB 中建模访问控制的示例吗？我想到的情况是：

有一组资源，每个资源都有自己的文档（例如汽车、人、树等）。

用户可以通过显式授权或通过成为资源所有者、存在于另一个集合（例如角色）或其他一些隐式方式来隐式地访问资源。

在一个 collection.find() 方法中，可以应用跳过和限制选项（用于分页），有没有办法检查所有这些显式和隐式路径并产生用户有权访问的资源的结果？

在 MySQL 中，我们使用带有资源 ID、授予用户 ID、授权用户 ID 和操作（读取、写入等）的授权表对此进行了建模。然后，我们在一个查询中选择至少一个子查询为真的所有资源，然后子查询检查所有不同的访问路径，例如一项检查赠款，一项检查所有权等。

我无法在 MongoDB 中完成这项工作，我不确定这是否可能......

谢谢

Answer 1

您一次不能查询多个文档。理想情况下，访问控制不应该成为业务逻辑的一部分。您的后端 php/c#/language 应该确保当前请求已获得授权。如果是这样，那么只需查询请求的文档。

如果你觉得，你需要在 mongodb 中实现完全相同的结构，我建议你不要，那么你将需要嵌入所有这些字段（来自其他 mysql 表的那些可以帮助你识别请求被授权）在每个集合的每个文件中。您将复制数据（对其进行非规范化）。这带来了确保所有副本都已更新并具有相同值的问题。

编辑 1：

让我们谈谈 Car 文档。要跟踪其所有者，您将拥有 owner 属性（这将包含所有者文档的 _id）。要跟踪所有可以“使用”（显式授予）汽车的用户，您将拥有一个数组 allowerdDrivers（这将包含每个 user 文档的 _id）。让我们假设发出请求的当前用户属于“管理员”角色。 user 文档将有一个数组applicableRoles 存储每个适用角色文档的_id。

要检索用户有权访问的所有汽车，您只需进行两次查询。一个来取他的角色。如果他是管理员，则归还所有汽车。如果他不是，则进行另一个查询，其中owner 等于他的id or allowedDrivers 包含他的id。

我了解您的实际用例可能更复杂，但可能有一种面向文档的方法可以解决这个问题。您必须意识到，在文档中建模数据的方式与在 RDbMS 中建模的方式大不相同。

Answer 2

在业务逻辑中这样做会非常缓慢和低效。

怎么会？这是业务逻辑，如果用户 a 拥有帖子 b，则让他们执行操作（MVC 风格），否则不要。

对我来说这听起来像是业务逻辑，大多数框架都认为这个业务逻辑被放置在控制器动作中（MVC 范式）；即在 PHP Yii 中：

Yii::app()->roles->hasAccess('some_view_action_for_a_post', $post)

我认为通过在数据库端执行此操作，您将存储层与业务层混淆了。

此外，由于某些基于角色的权限操作可以让您提交的查询变得非常复杂，因此必须有很多子选择。考虑到 MySQL 如何创建和处理结果集（子选择不是 JOINS），我感觉这些查询的扩展性不是特别好。

您还必须考虑何时要更改角色或定义角色的函数，该函数可以访问某个对象，您必须直接更改 SQL 查询，而不是仅仅将角色添加到角色表和为该角色分配对象属性并为该角色分配用户（AKA 代码更改）。

因此，我会认真研究其他语言（以及您自己的）的其他框架如何执行 RBAC，因为我认为您已经模糊了界限，并且您所做的事情让您的生活变得非常艰难，实际上这里可能是一个不错的选择起点：Group/rule-based authorization approach in node.js and express.js