Drupalに限らずアクセス権の管理は極めて難しい。利用者毎に見られるデータを制限するニーズの重要性は論を俟たないが実装は容易ではない。
単純な例で言えば、住所や診療データなどはデータベース上に記録されていたとしても、誰にでも見られるようなものであってはいけない。DrupalではGroup Moduleが良い実装モデルになっているが、細かいアクセス権を設定できる代わりにパフォーマンスが犠牲になる。ただ、よく考えれば、その瞬間に計算しなければならないことと、事前に計算できることがある。GroupではVariaton Cacheで事前計算を可能にしたが、これをGroupだけでなく全てのモジュールで利用可能にしようという試みが10.3で現実になろうとしている。
推進者が概要を解説している記事がDrupal Core 10.3 Introduces New Access Policy API。割と短い記事だが、この記事だけで理解できる人は相当権限管理に精通しているか、痛い目にあった経験のある人だけだろう。
Drupal.orgの記事としては、Drupal CoreのNew access policy APIが公式記事となる。コメントを見ると、よくわからないと書いているものがあり、推進者が適用事例に言及しているが、理解したという返信は現時点ではない。
Youtubeには解説動画がアップされている。
恐らく一回見ただけで分かる人はそう多くないと思う。私の場合は3回見直したところで腹落ちした。
彼が主張しているようにGroupのような人に依存するアクセス権だけではなく、時間で限定するポリシーなどにも対応でき、しかもそれをいつもダイナミックにチェックするのではなく事前計算でキャッシュに置くだけで、即時に切り替えられるのは画期的だと思う。
改めてPitch-burghのビデオを見ていただきたい。
私は、Groupの作者を尊敬しているので一生懸命に見たが、その時はビジョンしか理解できなかった。しかし一つ前のデモと文書を見て、概ね分かるようになった。恐らく、このAPIはDrupalの採用可否を分ける重要機能となるだろう。
※冒頭画像はPitch-burghのビデオからキャプチャさせていただいたもの。