WMS dengan Access Control (ACL) untuk pengguna yang berbeda? Atau solusi untuk ribuan titik di peta web?

Saya memiliki satu set situs dalam ribuan. Tidak semua pengguna melihat Situs yang sama di peta - dengan demikian ACL. Data disimpan dalam database non-GIS (mssql, ora, dll) dan sekarang diambil dengan query SQL standar dan dikembalikan ke klien (OpenLayers) dengan JSP.

Kode saat ini sudah dioptimalkan untuk melakukan pengelompokan sisi-klien (jadi lebih sedikit kekacauan pada klien, tetapi semua data ada di sana), pengambilan kotak-terikat (jadi sub-set data tetapi harus pergi ke server untuk setiap pan / zoom untuk data baru) dan bahkan pengelompokan sisi server (untuk mengurangi data dikirim ke klien).

Yang ingin saya lakukan adalah menghasilkan gambar / ubin untuk semua data saya, mirip dengan cara Google Maps menunjukkan banyak titik merah kecil untuk semua hasil - http://bit.ly/d73qrw [pencarian peta google untuk "kopi"] dan ditampilkan pada klien. Dan ketika diklik, lakukan panggilan ajax cepat ke layanan WMS untuk mendapatkan info. Setidaknya itulah idenya.

Tapi ini masalahnya - saya tidak bisa hanya mengatur layanan WMS standar di depan data saya karena tidak semua pengguna melihat data yang sama. Apakah ada cara untuk menghasilkan ubin ini dengan cepat atau membuat WMS ACL-sadar?

sunting - 9/22/2010 - Jadi saya menemukan bagaimana google menghasilkan ubin, atau tepatnya teknologi di baliknya. Mereka menggunakan Google Fusion Tables. Simpan N baris dalam tabel mereka dan kemudian jika data lat / lon sadari, produk Fusion Table dapat menghasilkan ubin langsung (!). Ini adalah hal yang saya cari - peta pemain dengan banyak data. Tapi tentu saja saya membutuhkannya untuk dikontrol ACL. Apakah masuk akal untuk menulis implementasi ringan spesifikasi WMS khusus atau memodifikasi produk yang ada? Meskipun geoserver sepertinya banyak "hanya" memodifikasi untuk mendukung ACL.

sunting - 9/27/2010 - Beberapa info lainnya sejak menambahkan hadiah. Data saya ada di Oracle. Ora spatial tidak diaktifkan. Saat ini data diekstraksi di tingkat bisnis dan dikonversi ke data, dikirim ke klien di mana klien meletakkan "titik-titik" di peta. ACL dilakukan pada tingkat logika bisnis, bukan DB atau ActivDir atau semacamnya. Otentikasi sederhana, tetapi Otorisasi tidak dan harus ditangkap dalam kode. Ingin tahu cara terbaik membuat layanan WMS untuk menyajikan 1000's "titik" pada peta di mana setiap pengguna akan melihat subset titik yang berbeda. Apakah jawabannya CQL_FILTER? Tapi lalu bagaimana parameternya? Satu ide yang saya miliki sekarang adalah melakukan proses 2 langkah. Pertama jalankan in-house query untuk mendapatkan daftar ID yang diizinkan untuk dilihat oleh pengguna, kemudian buat string permintaan WMS dengan ID tersebut dalam parameter CQL_FILTER. Adakah yang menyederhanakan proses ini? Dan jika saya menggunakan ini, bagaimana saya bisa menambahkan lapisan ini sebagai lapisan "WMS" ke klien Open Layers karena untuk OL titik akhir adalah kode saya untuk mendapatkan ID dari DB bukan layanan WMS aktual misalnya GeoServer?

Beberapa proyek untuk layanan web GIS ACL

• http://52north.org/maven/project-sites/52n-security-site/
• http://www.geoxacml.org/
• https://secureows.org/
• http://www.easysdi.org/
• http://istgeo.ist.supsi.ch/site/projects/geoshield
• http://wald.intevation.org/scm/?group_id=39 (Gispatcher)
• http://www.mapbender.org/OWS_Proxy (untuk Mapbender)
• http://wiki.deegree.org/deegreeWiki/iGeoSecurity (untuk Gelar)

Di foss4g 2010, lihat pada 09 September, 11:00 di program akhir http://2010.foss4g.org/program_print.php (presentasi tidak tersedia untuk saat ini)

Saya pikir solusi umum adalah membuat skrip proxy atau pembungkus yang berada di antara klien dan WMS. Proxy digunakan untuk membuat panggilan WMS khusus berdasarkan parameter dari klien.

Anda belum menyebutkan apakah tujuan Anda untuk pengaturan ini adalah keamanan atau hanya penyesuaian, atau informasi apa yang harus dimiliki klien untuk menentukan 'tampilan' khusus dari data yang harus dihasilkan WMS.

Jika Anda akan menampilkan lebih dari beberapa ratus poin, Anda ingin tetap menggunakan layanan berbasis gambar seperti WMS. Bergantung pada kebutuhan Anda, Anda juga bisa menempatkan MapServer di belakang skrip wrapper yang membuat permintaan peta khusus berdasarkan parameter filter atau ekspresi yang unik.

Saya punya jawaban yang berhasil bagi kami setelah beberapa percobaan dan kesalahan.

Oracle Spatial + Oracle VPD melakukan trik. Kami sudah menggunakan Ora, dan VPD, jadi ini adalah langkah logis berikutnya. Ora spatial memiliki layanan WMS dan dapat disesuaikan agar berbeda untuk pengguna yang berbeda berdasarkan hak / ACL mereka melalui VPD. Jika orang lain mencari sesuatu seperti ini, saya menyadari tidak semua operasi memiliki atau mampu membeli Oracle, tetapi jika Anda memilikinya - ada di sana. Tidak tahu apakah MS SQL Server memiliki fungsi serupa.

Gagasan lain (saya tidak yakin apakah ini benar-benar praktis). Yang Anda butuhkan adalah pemetaan antara izin pengguna dan file peta yang dihasilkan. Jadi, mengapa tidak membuat hash dari izin pengguna dan petak / ekstensi peta yang diminta? Hash ini memetakan ke ubin yang dibuat. Jika peta tidak ada di sana, itu jelas perlu dibuat, jika tidak maka dapat diambil dari cache peta. Tentu saja, pendekatan ini tidak membawa manfaat jika setiap pengguna melihat set data yang sama sekali berbeda. Tetapi jika semua pengguna termasuk dalam kelompok set izin terbatas, ini akan sangat membantu.

Daniel

Apa tenggat waktu Anda? Di Geomajas, kami sudah memiliki batasan keamanan / akses data. Kami sedang mengerjakan caching / rasterisasi pada saat ini yang akan menghasilkan jenis sistem yang Anda cari. Itu harus selesai dalam beberapa minggu.

Apakah Layanan Fitur Web (WFS) lebih efisien?

http://openlayers.org/dev/examples/getfeatureinfo-popup.html

Hanya sebuah ide.

Kemungkinan solusi ini gila, tetapi ini dia.

Mengapa bukan server WMS per pengguna? Misalkan kita menggunakan MapServer. Konfigurasi MapServer disimpan dalam file .map (alias mapfile), tetapi tidak ada yang melarang menggunakan beberapa mapfile. Ketika permintaan WMS dilakukan, salah satu parameter spesifik vendor yang akan diterima MapServer adalah 'map', yang merupakan string yang berisi path dan nama file dari mapfile yang digunakan [1]. Jika dalam WMS Anda meminta mapfile yang berbeda dikirim tergantung pada id dari pengguna yang sebelumnya login, maka Anda akan mendapatkan sebagai server WMS sebagai pengguna, dan hanya dengan satu instalasi MapServer.

Di sisi keamanan, Anda harus memeriksa mapfile yang digunakan terhadap id sesi, tugas yang kemungkinan akan dilakukan oleh proxy antara klien dan MapServer. Seorang pengguna yang ingin melihat peta pengguna lain secara manual dapat mengubah URL yang mengubah parameter 'peta', dan tindakan pencegahan cek ini akan membuat upaya tersebut tidak berhasil.

The kontra (kegilaan) dari solusi ini adalah untuk setiap pengguna mapfile harus dihasilkan. Jelas, jika jumlah pengguna tinggi, solusi ini tidak praktis, kecuali mapfile dapat secara otomatis dihasilkan dan diperbarui, bila diperlukan, dengan menggunakan skrip atau mekanisme serupa.

[1] Jika menggunakan MapServer, parameter 'map' sebenarnya wajib.

Ada beberapa bagian yang bergerak di sini.

Pertama, ada memfilter poin: Ini harus dilakukan di sisi server, segera setelah atau selama permintaan SQL Anda.

Kemudian poin yang disaring perlu dikembalikan ke klien.

Itu adalah bagian yang sederhana. :) Saya akan merekomendasikan Anda menerapkan ini kemudian menguji kinerja, dan idealnya akan bisa berhenti di sini.

Namun, jika Anda memiliki terlalu banyak titik untuk ditampilkan secara efisien di OpenLayers, maka Anda mendapatkan optimasi yang dilakukan google untuk titik-titik merah kecil:

• Anda perlu menghubungkan renderer ubin ke set lengkap hasil yang difilter, menghasilkan ubin sepenuhnya transparan kecuali untuk titik kecil per hasil. (Keputusan desain: hasilkan dengan penuh semangat, atau hanya berdasarkan permintaan?)

  • GeoServer, dll, akan memerlukan kode 'pemicu' karena mereka akan membutuhkan lapisan baru per permintaan per pengguna; saat Anda menambahkan pengguna, Anda harus menambahkan hal-hal baru untuk GeoServer render. (Selain itu, Anda harus menghasilkan catatan hasil dalam format yang dapat dikonsumsi oleh implementasi rendering). Dan seberapa sering ubin lama dirender ulang?

  • Saya akan merekomendasikan sedikit kode server yang proksi akses ke penyaji ubin - dengan cara itu seseorang tidak akan dapat melihat hasil yang bukan milik mereka dengan menebak URL.

• Selanjutnya, hasil yang sedang dikembalikan ke browser perlu dipartisi: N pertama adalah hasil lengkap yang menempatkan penanda, sedangkan sisanya dikirim sebagai koordinat + URL panggilan balik. (Bahkan jika itu tidak bertanggung jawab untuk merendernya, browser perlu tahu di mana mereka berada untuk mengubah kursor, memberikan tooltip, dan memiliki tindakan yang berarti terjadi dengan sekali klik!)

• Lalu ada kode JS di browser untuk mengatur interaksi tanpa titik.

Sejauh yang saya tahu, yang tidak terlalu jauh, tidak ada yang menulis kode 'out of the box' untuk melakukan hal di atas: Anda sedang melihat banyak kode integrasi sistem di backend dan cukup banyak JS baru di paling depan.

Jika Anda memiliki kueri yang dapat dieksekusi untuk memberi tahu Anda ID mana yang dapat dilihat pengguna (seperti yang Anda katakan di edit terakhir) maka solusi "terbaik" mungkin adalah untuk menyandikan filter itu sebagai filter CQL atau OGC sebagai bagian dari Permintaan WMS. Anda mungkin menemukan bahwa mengatur ulang data menjadi tampilan diperlukan untuk membuat ini layak.

Sebelum Anda mulai menggunakan Tile Cache, saya akan membuat versi sederhana dan melihat apakah itu cukup cepat, dan kemudian menjadi kompleks jika dan hanya jika Anda membutuhkan lebih banyak kecepatan.