Zabezpieczenia oparte na rolach z Google App Engine i Pythonem

Question

Chciałbym zapytać, jaki jest najczęstszy sposób obsługi bezpieczeństwa opartego na rolach z Google App Engine, Python?

W app.yaml znajduje się sekcja "login", ale dostępne wartości to tylko "admin" i "required".

Jak normalnie radzisz sobie z zabezpieczeniami opartymi na rolach?

• Tworzenie modelu z dwóch tabel: Role i UserRoles
• wartości w przywozie dla Roles tabeli
• ręcznie dodać użytkownika do UserRoles
• Sprawdź, czy użytkownik jest w grupie prawo Roles

Jakikolwiek inny pomysł lub jakakolwiek inna metoda na bezpieczeństwo oparte na rolach, daj nam znać!

Answer 1

Zrobiłbym to, dodając ListProperty dla ról do modelu reprezentującego użytkowników. Lista zawiera wszystkie role, do których należy dany użytkownik. W ten sposób, jeśli chcesz się dowiedzieć, czy dany użytkownik należy do danej roli (oczekuję najczęstszej operacji), jest to szybki test członkostwa.

Możesz wstawić nazwy ról bezpośrednio do list jako ciągi lub dodać warstwę pośrednią do innej jednostki, określając szczegóły dotyczące roli, aby później łatwo było zmienić szczegóły. Ale ma to koszt runtime dodatkowego RPC, aby pobrać szczegóły dotyczące roli.

Wadą tej metody jest, jeśli chcesz usunąć wszystkich użytkowników z danej roli lub wykonać jakąkolwiek inną operację globalną. Przypuszczam, że możesz oznaczyć rolę "usuniętą", ale nadal masz dane zagracające wszystkie modele użytkowników, dopóki nie wyczyścisz ich ręcznie. Więc jestem ciekawy, co inni sugerują.