Die Architektur basiert auf einem verteilten, durch Zanzibar inspirierten Autorisierungsdienst, der aus drei Schichten besteht: zustandslose Evaluierungs-Knoten der Prüfmotor, einer global verteilten Graphspeicher-Snapshot-Datenbank und einer ereignisgesteuerten Watch-Pipeline zur Cache-Invalidierung. Dieses Design trennt die leselastigen Autorisierungsprüfungen von den schreiblastigen Berechtigungsaktualisierungen und ermöglicht eine unabhängige Skalierung der Evaluierungskapazität, während starke Konsistenzgarantien für Beziehungsänderungen aufrechterhalten werden. Das System verwendet das Zookie-Muster von Google, um die Veralterung zu begrenzen, ohne die Leistungsbenefits des Edge-Cachings zu opfern.
Die an Edge-Standorten bereitgestellten Prüfmotor-Knoten bewerten Autorisierungsanfragen mit lokalen In-Memory-Caches und kompakten Berechtigungsbitmap. Diese Knoten laden Namensraumkonfigurationen aus einem replizierten etcd-Cluster und lösen Beziehungstupel von einer geo-partitionierten CockroachDB oder Spanner-Instanz, die externe Konsistenz durch TrueTime oder hybride logische Uhren bereitstellt. Jeder Knoten hält Bloom-Filter bereit, um zu verhindern, dass Cache-Fehlermeldungen die Datenbank treffen, wenn Beziehungen definitiv nicht existieren.
Um das "Problem des neuen Gegners" zu lösen, bei dem kürzliche Widerrufe möglicherweise unsichtbar für Edge-Caches sind, implementiert das System Zookie-Token - opake Zeitstempel, die die Snapshot-Konsistenz kodieren - die Cache-Fehlermeldungen für sensible Operationen innerhalb eines konfigurierbaren Unsicherheitsfensters erzwingen. Die Clients erhalten diese Tokens mit den ersten Prüfungen und müssen sie wiederholen, wenn sie auf wertvolle Ressourcen zugreifen, wobei sichergestellt wird, dass kürzlich widerrufene Berechtigungen sofort sichtbar sind, ohne eine globale Cache-Invalidierung zu erfordern. Dieser Mechanismus balanciert die Notwendigkeit einer niedrigen Latenz mit den Sicherheitsanforderungen an die sofortige Sichtbarkeit von Widerrufen.
Die Cache-Invalidierung nutzt eine Apache Kafka-gestützte Watch-Pipeline, die Tupeländerungen an alle Edge-Prüfmotoren propagiert, wobei konsistente Hashing-Techniken verwendet werden, um sicherzustellen, dass Widerrufsstürme gestaffelte Cache-Aktualisierungen auslösen, anstatt die Datenbank synchron zu bombardieren. Die Pipeline verwendet gestaffelte exponentielle Backoff-Verfahren, um wütende Herden zu verhindern, wenn weit verbreitete Objekte Berechtigungsänderungen erfahren. Diese Architektur stellt sicher, dass das System eine Latenz von unter 10 ms bei Cache-Treffern aufrechterhält und gleichzeitig kausale Konsistenz für Berechtigungsaktualisierungen über geografisch verteilte Knoten gewährleistet.
Eine globale Dokumentenkollaborationsplattform, die 50 Millionen Unternehmensbenutzer bedient, erlebte katastrophale Latenzspitzen während der Spitzenzeiten, wenn komplexe Freigabehierarchien evaluiert wurden. Jeder Dokumentenzugriff erforderte das Durchqueren von verschachtelten Gruppenmitgliedschaften und vererbten Berechtigungen, die in einem monolithischen PostgreSQL-Cluster gespeichert waren, was zu Abfragezeiten von über 500 ms und häufigen Zeitüberschreitungen bei massiven Berechtigungsaktualisierungen führte, wenn Mitarbeiter die Abteilungen oder Projekte wechselten. Das Engineering-Team benötigte eine Lösung, die eine Latenz von unter 10 ms aufrechterhielt, während es strenge Sicherheitsgarantien während kaskadierter Widerrufe über verschachtelte Ordnerstrukturen beibehielt.
Der erste Ansatz bewertete die Beibehaltung eines zentralisierten PostgreSQL-Clusters mit aggressivem Redis-Caching von berechtigten Pfaden. Vorteile umfassten starke ACID-Garantien, die sofortige Sichtbarkeit von Widerrufen und unkomplizierte Transaktionssemantiken für komplexe Multi-Tabellen-Aktualisierungen garantierten. Nachteile betrafen erhebliche Schreibengpässe bei massiven Berechtigungsänderungen, unvermeidliche Cache-Sturmrisiken, wenn beliebte Dokumente aktualisiert wurden, und die grundlegende Unfähigkeit, den Lesedurchsatz geografisch zu skalieren, ohne komplexe Lese-Replikate, die inakzeptable Replikationsverzögerungen für sicherheitskritische Entscheidungen einführten.
Der zweite Ansatz schlug eine vollständig denormalisierte Bereitstellung von Apache Cassandra mit anwendungsseitiger Berechtigungsauflösung und TTL-basierter Cache-Ablaufzeit vor. Vorteile umfassten exzellenten Schreibdurchsatz für Beziehungsänderungen und inhärente Multi-Region-Verfügbarkeit ohne Einzelpunkte des Versagens. Nachteile zeigten inakzeptable eventual consistency Trade-offs, bei denen widerrufene Berechtigungen minutenlang sichtbar blieben, aufgrund von Verzögerungen im Gossip-Protokoll und die fehlende atomare kaskadierende Löschung schuf Sicherheitslücken, bei denen Benutzer Zugriff auf Ressourcen behielten, nachdem sie aus übergeordneten Gruppen entfernt wurden, was das Prinzip der minimalen Berechtigung verletzte.
Das Team wählte letztendlich eine Zanzibar-ähnliche Architektur mit CockroachDB für die Speicherung von Beziehungstupel, Envoy-Sidecars als Policy Enforcement Points und horizontal skalierten Prüfmotor-Knoten mit Least Recently Used-Caches, die von Bloom-Filtern unterstützt werden. Diese Entscheidung balancierte die Notwendigkeit starker Konsistenz bei Berechtigungswritten über serielle Standardisolation mit den Anforderungen an Edge-Leistung durch lokale Evaluierungs-Caches und Apache Kafka-getriebene Invalidierungsströme. Das Ergebnis verringerte die p99-Autorisierungslatenz von 500 ms auf 4 ms, unterstützte 15 Millionen Prüfungen pro Sekunde weltweit und stellte sicher, dass Berechtigungswiderrufe innerhalb von 150 Millisekunden an alle Edge-Knoten propagiert wurden, während 99,99% Verfügbarkeit aufrechterhalten wurde.
Wie verhindern Sie, dass Autorisierungsprüfungen veraltete "erlauben"-Entscheidungen unmittelbar nach einem Berechtigungswiderruf zurückgeben, ohne die Leistungsbenefits des verteilten Cachings zu opfern?
Kandidaten übersehen häufig das Zookie-Muster oder Versionsvektoren und schlagen stattdessen globale Cache-Invalidierung oder Datenbankabfragen für jede Überprüfung vor. Die Lösung erfordert, dass der Autorisierungsdienst mit jeder Entscheidung ein Konsistenz-Token zurückgibt, das den Snapshot-Zeitstempel der verwendeten Daten kodiert. Für sensible Operationen oder nach kürzlichen Widerrufsereignissen muss der Client dieses Token präsentieren, was den Prüfmotor zwingt, die zentrale Ablage zu überprüfen, ob sein lokaler Cache vor dem Zeitstempel des Tokens liegt. Dies gewährleistet kausale Konsistenz, ohne eine globale Cache-Invalidierung zu erfordern oder die Leseleistung für die Mehrheit der Anfragen einzuschränken.
Wie würden Sie den Cache-Invalidierungsmechanismus gestalten, um wütende Herdeneffekte zu vermeiden, wenn ein weit verbreitetes Objekt seine Berechtigungen ändert und potenziell Millionen gleichzeitiger Cache-Aktualisierungen auslöst?
Die Schlüsseltechnik besteht darin, konsistentes Hashing von Cache-Keys mit gestaffeltem exponentiellem Backoff und Anfragen-Koaleszierung an den Edge-Knoten zu kombinieren. Wenn die Watch-Pipeline eine Tupeländerung verbreitet, invalidieren Edge-Knoten nicht sofort, sondern planen stattdessen die Invalidierung unter Verwendung eines Hashs der Objekt-ID, um Auffrischungen über ein Zeitfenster zu verteilen. Darüber hinaus hält jeder Prüfmotor eine Fluggruppe für laufende Prüfungen, was sicherstellt, dass konkurrierende Anfragen für dasselbe Objekt ein einzelnes Backend-Abfrageergebnis teilen, um eine Überlastung der Datenbank während der Aktualisierungen beliebter Objekte zu verhindern.
Warum ist die Verwendung einer einfachen gerichteten Graphen-Traversierung unzureichend für die Modellierung von ReBAC-Richtlinien und wie behandeln Sie Schnitt- und Ausschlussbedingungen in einer verteilten Evaluierungsumgebung?
Eine einfache Graphen-Traversierung kann die für anspruchsvolle Richtlinien erforderlichen Mengenoperationen wie "erlauben nur, wenn der Benutzer in Gruppe A ist und nicht in Gruppe B" nicht erfassen. Die Lösung implementiert ein Umzeichnungssystem, bei dem die Namensraumkonfigurationen in Entscheidungsbäume umgewandelt werden, die durch reverse Indexabfragen evaluiert werden, wobei sowohl positive als auch negative Beziehungstupel explizit gespeichert werden. Für Schnittbedingungen befragt das System beide Mengen und berechnet die Schnittmenge im Prüfmotor, während Ausschlüsse eine Kurzschlussbewertung mit früherer Beendigung verwenden. Dieser Ansatz stellt sicher, dass komplexe boolesche Logik effizient evaluiert wird, ohne mehrere Runden zur Datenbank zu erfordern.