PBACとReBACに分けて認可を整理するアプローチ、めちゃくちゃ綺麗。ロール直接参照で破綻する負債化あるあるの処方箋として保存した
これなー。これなのよー
エリアマネージャーやかけもち店長/スタッフを追加してからが本番
技術とは関係ない重箱の隅をつつくような指摘で申し訳ないけど、こういうサンプルを記事として公開する場合はセブンイレブンのような特定の企業は使用せずに架空の企業にした方が良いですよ
超大事。この辺ちゃんと設計できてるプロダクトって思いの外少ない。
PBAC=操作権限、ReBAC=対象データ範囲
settingsという命名が致命的に悪すぎる
斜め読みしたけどポリシーとユーザーで分けるちゅーことかな
画面とかボタンの制御だけで済むなら簡単。料金プランとかユーザーの個人設定とか、データごととか、どんどん複雑になっていってテストも大変になるやつ。
うん
開発が進むにつれて複雑になるので結局泥臭くやるしかないよなとは思う
新規で作れるなら最初から認可周りはOpenFGAで外出しするのがいいだろうなあ…認可は重要だがプロダクトの競争力になる部分じゃないし
人に言いたい
良さそう
SaaSマルチテナントの権限管理をPBACで「何ができるか」、ReBACで「誰のリソースか」分離して設計する
SaaSの権限管理設計を完全に理解した
PBACとReBACに分けて認可を整理するアプローチ、めちゃくちゃ綺麗。ロール直接参照で破綻する負債化あるあるの処方箋として保存した
これなー。これなのよー
エリアマネージャーやかけもち店長/スタッフを追加してからが本番
技術とは関係ない重箱の隅をつつくような指摘で申し訳ないけど、こういうサンプルを記事として公開する場合はセブンイレブンのような特定の企業は使用せずに架空の企業にした方が良いですよ
超大事。この辺ちゃんと設計できてるプロダクトって思いの外少ない。
PBAC=操作権限、ReBAC=対象データ範囲
settingsという命名が致命的に悪すぎる
斜め読みしたけどポリシーとユーザーで分けるちゅーことかな
画面とかボタンの制御だけで済むなら簡単。料金プランとかユーザーの個人設定とか、データごととか、どんどん複雑になっていってテストも大変になるやつ。
うん
開発が進むにつれて複雑になるので結局泥臭くやるしかないよなとは思う
新規で作れるなら最初から認可周りはOpenFGAで外出しするのがいいだろうなあ…認可は重要だがプロダクトの競争力になる部分じゃないし
人に言いたい
良さそう
SaaSマルチテナントの権限管理をPBACで「何ができるか」、ReBACで「誰のリソースか」分離して設計する