当你在 Google Docs 里点击“分享”按钮，将一份文档开放给整个研发部门，或者给某位同事单独赋予“仅评论”权限时，Google 是如何在几毫秒内、在分布于全球的数据中心里，稳定地做出授权判断的？

这个问题的难点并不只是“判断谁能访问谁”。真正棘手的是下面几件事必须同时成立：

• 权限关系很复杂，既有直接授权，也有群组嵌套、文件夹继承、跨产品协作。
• 授权检查处在业务请求的关键路径上，延迟不能高。
• 一旦权限被撤销，系统又不能因为缓存或副本延迟而出现“明明该拒绝，却暂时放行”的安全漏洞。