Безопасность на основе ролей с помощью Google App Engine и Python

Question

Я хотел бы спросить, что является распространенным способом обработки ролевой безопасности с помощью Google App Engine, Python?

В app.yaml есть раздел «Логин», но доступными значениями являются только «admin» и «required».

Как вы обычно относитесь к обеспечению безопасности на основе ролей?

• Создание модели с двумя таблицами: Роли и UserRoles
• значения импорта для таблицы ролей
• вручную добавить пользователя в UserRoles
• Проверьте, если пользователь находится в группе правых ролей

Любая другая идея или любой другой метод обеспечения безопасности на основе ролей, пожалуйста, сообщите нам об этом!

Answer 1

Я бы сделал это, добавив ListProperty для ролей для модели, представляющей пользователей. Список содержит любые роли, которым принадлежит данный пользователь. Таким образом, если вы хотите знать, принадлежит ли данный пользователь к данной роли (я ожидаю, самая обычная операция), это быстрый тест на членство.

Вы можете поместить имена ролей непосредственно в списки в виде строк или добавить слой косвенности другому объекту, указав детали о роли, чтобы было легче изменить детали позже. Но у этого есть время выполнения дополнительной RPC, чтобы получить детали о роли.

Недостаток этого метода возникает, если вы хотите удалить всех пользователей из данной роли или выполнить любую другую глобальную операцию. Я полагаю, вы могли бы отметить роль «удалена», но тогда у вас все еще есть данные, загромождающие все ваши пользовательские модели, пока вы их не очистите вручную. Поэтому мне интересно узнать, что предлагают другие.