所以,我试图建立IAM服务像亚马逊IAM,但更简单。公司有用户、组和策略。可以想象,用户、组和策略之间存在多对多关系。行动:
- 策略可以添加到组
- 用户可以添加到组或策略
现在的问题是,如果用户尝试登录,那么我必须提出3个请求:
- 从用户分区 获取组和策略
- 从该列表中的组中获取所有策略
- 获取所有策略
那么我必须为每次登录做3次往返。有更好的方法吗?或者以不同的方式设计关系。
我将把它反规范化。
用户的有效策略应该是用户文档中的一个属性。
当用户被添加或从组中移除,或者策略被附加/分离到用户后,有效的策略需要异步重新计算。