Zanzibar: o paper do Google que mudou autorização

O paper que reordenou o campo

"Zanzibar: Google's Consistent, Global Authorization System" — Pang, Hoffmann, Wesołowski et al, USENIX ATC 2019. É o paper de autorização mais influente da década. Resolveu, em produção real, três problemas que ninguém mais tinha resolvido junto:

Escala global~10M QPS, 95% sub-10ms p99, durante uma década rodando Drive/YouTube/Photos/Cloud

Consistência forteSpanner por baixo + Zookies para evitar "new enemy problem" sem custo de coordenação global em todo read

Modelo flexívelUma engine roda RBAC, ABAC e ReBAC com schemas customizáveis por namespace

💡

Leitura obrigatória: research.google/pubs/pub48190. Após o paper, surgiram SpiceDB (2021), OpenFGA (2022, Auth0/CNCF), e o próprio AWS Verified Permissions (Cedar, 2023) absorveu ideias. ReBAC virou mainstream — antes era hipotético.

O insight: relação como dado, não como policy

Em RBAC/ABAC clássicos, autorização é regra: "admins podem editar invoices". Em Zanzibar, é fato: doc:readme#editor@user:tom — isto é uma tupla, gravada no banco, mutável como qualquer linha. A engine apenas navega o grafo dessas tuplas.

ƒ Tupla canônica Zanzibar

⟨object⟩#⟨relation⟩@⟨user-or-userset⟩

# Exemplos de tuplas em produção
doc:readme#owner@user:tom
doc:readme#editor@user:alice
doc:readme#parent@folder:planning
folder:planning#viewer@group:eng#member
group:eng#member@user:bob

# Pergunta: Bob pode ler doc:readme?
# Resposta: SIM. doc:readme tem parent folder:planning;
#           folder:planning tem viewer = group:eng#member;
#           user:bob é member do group:eng. ✓

Userset rewrites: o engine de derivação

O modelo "tupla é fato" não basta — você precisa derivar "viewer" a partir de "editor" (todo editor é viewer), "viewer" a partir de "folder.viewer" (herança), etc. Isso é o userset rewrite — descrito no schema do namespace.

# Schema do namespace 'doc' (sintaxe simplificada do paper)
name: "doc"
relation { text: "owner" }
relation { text: "editor"
  userset_rewrite {
    union {
      child { _this {} }                       # tuplas diretas
      child { computed_userset { relation: "owner" } }  # owner ⊆ editor
    }
  }
}
relation { text: "viewer"
  userset_rewrite {
    union {
      child { _this {} }
      child { computed_userset { relation: "editor" } }
      child { tuple_to_userset {               # herança do folder pai
        tupleset { relation: "parent" }
        computed_userset { object: "$TUPLE_USERSET_OBJECT" relation: "viewer" }
      }}
    }
  }
}

union / intersection / exclusionoperações de conjunto sobre usersets — sintaxe puramente declarativa

computed_usersetindireção em MESMO objeto: owner ⊆ editor ⊆ viewer

tuple_to_usersetindireção via tupla intermediária — base da herança hierárquica (folder→doc, org→project)

_thistuplas diretas atribuídas explicitamente — o "raw data"

A API: 4 verbos que bastam

API	Pergunta	Latência alvo
Read / Write	CRUD em tuplas — alterar fatos	Spanner consistente, ~10ms
Check(user, rel, obj) → bool	usuário pode? — single decision	p95 < 10ms global
Expand(obj, rel) → userset tree	quem tem essa relação? — debug	p95 < 50ms (recursivo)
Watch(namespace) → stream	mudanças em tempo real — cache invalidation	streaming Spanner

APIRead / Write

PerguntaCRUD em tuplas — alterar fatos

Latência alvoSpanner consistente, ~10ms

APICheck(user, rel, obj) → bool

Perguntausuário pode? — single decision

Latência alvop95 < 10ms global

APIExpand(obj, rel) → userset tree

Perguntaquem tem essa relação? — debug

Latência alvop95 < 50ms (recursivo)

APIWatch(namespace) → stream

Perguntamudanças em tempo real — cache invalidation

Latência alvostreaming Spanner

Note o que NÃO existe: avaliação de policy escrita em DSL. Zanzibar não tem Rego/Cedar. A "policy" está no schema do namespace (rewrites). Para condições dinâmicas (ABAC), você combina Zanzibar com OPA/Cedar — não é "substituição", é complemento.

O 'new enemy problem' e os Zookies

Cenário: Alice tem doc compartilhado com Bob. Alice remove Bob, depois adiciona conteúdo confidencial. Sem garantias de ordenação, um read de Bob pode usar cache stale (ainda com Bob como editor) e ler o novo conteúdo. Esse é o new enemy problem.

🗺️ Por que reads ingênuos vazam dados pós-revogação

t0Alice escreve: doc#editor@bob (Bob é editor)

t1Alice remove tupla: doc#editor@bob (Bob não é mais)

t2Alice adiciona conteúdo secreto ao doc

t3Bob faz check(bob, viewer, doc) — réplica stale retorna PERMIT → vaza

⚠️

A solução naïve seria fazer todo read globalmente consistente — caro. Zanzibar inventou os Zookies: token opaco que codifica um Spanner timestamp. Cliente recebe zookie no write e envia no read; engine garante "reads ≥ esse momento". Custo amortizado ~zero.

// Padrão de uso aplicacional
// 1. Write retorna zookie
const { zookie } = await zanzibar.write({
  tuple: 'doc:readme#editor@user:bob',
  op: 'delete',
});

// 2. App propaga zookie junto com o doc atualizado (cookie, header, db field)
await db.docs.update({ id: 'readme', content: secret, authz_zookie: zookie });

// 3. Próximo read SEMPRE envia zookie — garante consistência ≥ momento do delete
const allowed = await zanzibar.check({
  user: 'bob', rel: 'viewer', obj: 'doc:readme',
  consistency: { at_least_as_fresh: doc.authz_zookie }
});
// allowed === false, mesmo que a réplica local ainda tivesse a tupla antiga

Arquitetura interna: Spanner + Leopard + aclservers

🗺️ Stack interna do Zanzibar (paper §3)

aclserver

Frontend cache

Check evaluator

Leopard index

Spanner

Zookie = timestamp

aclserverprocess stateless de entrada, faz routing por namespace e paraleliza expansões

Leopardsistema de indexação que pré-materializa userset expansions para nested groups grandes (group hierarchies em empresas com milhares de membros). Crítico para perf.

Spannerstorage tuplas + TrueTime API. Reads com bounded staleness para perf, strong reads quando zookie é fornecido.

Watch APIstream de mudanças usado por Leopard para invalidar caches em ~ms

Performance no paper (mídia comum)

🗺️ Números canônicos do paper (production data)

QPS

~10M+ QPS pico

fan-out paralelo em nested groups

Latência

p50 ~3ms

p99 ~20ms global

p99.9 ~93ms

Disponibilidade

> 99.999% durante 3 anos

graceful degradation

💡

Esses números foram o "reality check" do paper: ReBAC funciona em escala Google, não é só teoria. SpiceDB e OpenFGA não chegam a 10M QPS, mas alcançam sub-10ms p99 em escalas SaaS típicas (milhares de QPS por tenant).

O que os filhos do Zanzibar herdaram

Sistema	Mantém do paper	Diverge
SpiceDB	Schema language, tuplas, check/expand, zookies (ZedTokens)	Postgres/CockroachDB como storage; sintaxe própria de schema
OpenFGA	Tuplas, namespaces, modeling, check	Adiciona conditional tuples (ABAC), mais simples, foco em DX
Auth0 FGA	OpenFGA gerenciado	SaaS-only, multi-region cloud-hosted
AWS Verified Permissions	Conceito de policy-as-data + per-resource	Cedar (não Zanzibar — política como código), schema separado

SistemaSpiceDB

Mantém do paperSchema language, tuplas, check/expand, zookies (ZedTokens)

DivergePostgres/CockroachDB como storage; sintaxe própria de schema

SistemaOpenFGA

Mantém do paperTuplas, namespaces, modeling, check

DivergeAdiciona conditional tuples (ABAC), mais simples, foco em DX

SistemaAuth0 FGA

Mantém do paperOpenFGA gerenciado

DivergeSaaS-only, multi-region cloud-hosted

SistemaAWS Verified Permissions

Mantém do paperConceito de policy-as-data + per-resource

DivergeCedar (não Zanzibar — política como código), schema separado

Perguntas frequentes do paper

❓ Zanzibar substitui banco de dados?

Não. Zanzibar é só metadados de autorização. Os recursos (docs, vídeos) continuam em outros sistemas. Zanzibar guarda apenas tuplas .

❓ Como Zanzibar lida com ABAC (atributos dinâmicos)?

O paper original não lida — é puro ReBAC. Implementações modernas como OpenFGA adicionaram conditional relationships (tupla com CEL expression). Para produção, padrão é: ReBAC para sharing, OPA/Cedar paralelo para condições.

❓ Por que zookies em vez de simplesmente strong reads?

Strong reads globalmente consistentes via Spanner custam ~100ms (round-trip TrueTime). Zookies amortizam: 90% dos reads são bounded staleness (~3ms). Só quando há propagação de revogação você paga consistência forte.

❓ ReBAC torna RBAC obsoleto?

Não. RBAC continua ótimo para perms organizacionais coarse-grained (admin/staff/viewer). ReBAC vence para per-resource sharing (Drive, Notion, Figma). Maioria das produções usa híbrido: RBAC para roles organizacionais, ReBAC para resource sharing.

Resumo executivo

Zanzibar (Pang et al, USENIX ATC 2019) é o paper-base de ReBAC moderno. Leitura obrigatória.
Insight central: autorização vira dado (tuplas obj#rel@user), não regra estática.
Userset rewrites (union/intersection/computed/tuple-to-userset) modelam herança e composição declarativamente.
APIs: Check / Expand / Read-Write / Watch. Sem DSL de policy — combina-se com OPA/Cedar para ABAC.
Zookies (tokens com Spanner TS) resolvem o "new enemy problem" sem custo de strong reads em todo path.
Performance produção Google: ~10M QPS, p99 ~20ms global, 99.999% disponibilidade durante anos.
Filhos: SpiceDB, OpenFGA (próximos módulos). Cedar diverge — policy-as-code, não data.

O paper que reordenou o campo

Escala global~10M QPS, 95% sub-10ms p99, durante uma década rodando Drive/YouTube/Photos/Cloud

Consistência forteSpanner por baixo + Zookies para evitar "new enemy problem" sem custo de coordenação global em todo read

Modelo flexívelUma engine roda RBAC, ABAC e ReBAC com schemas customizáveis por namespace

💡

O insight: relação como dado, não como policy

ƒ Tupla canônica Zanzibar

⟨object⟩#⟨relation⟩@⟨user-or-userset⟩

# Exemplos de tuplas em produção
doc:readme#owner@user:tom
doc:readme#editor@user:alice
doc:readme#parent@folder:planning
folder:planning#viewer@group:eng#member
group:eng#member@user:bob

# Pergunta: Bob pode ler doc:readme?
# Resposta: SIM. doc:readme tem parent folder:planning;
#           folder:planning tem viewer = group:eng#member;
#           user:bob é member do group:eng. ✓

Userset rewrites: o engine de derivação

# Schema do namespace 'doc' (sintaxe simplificada do paper)
name: "doc"
relation { text: "owner" }
relation { text: "editor"
  userset_rewrite {
    union {
      child { _this {} }                       # tuplas diretas
      child { computed_userset { relation: "owner" } }  # owner ⊆ editor
    }
  }
}
relation { text: "viewer"
  userset_rewrite {
    union {
      child { _this {} }
      child { computed_userset { relation: "editor" } }
      child { tuple_to_userset {               # herança do folder pai
        tupleset { relation: "parent" }
        computed_userset { object: "$TUPLE_USERSET_OBJECT" relation: "viewer" }
      }}
    }
  }
}

union / intersection / exclusionoperações de conjunto sobre usersets — sintaxe puramente declarativa

computed_usersetindireção em MESMO objeto: owner ⊆ editor ⊆ viewer

tuple_to_usersetindireção via tupla intermediária — base da herança hierárquica (folder→doc, org→project)

_thistuplas diretas atribuídas explicitamente — o "raw data"

A API: 4 verbos que bastam

API	Pergunta	Latência alvo
Read / Write	CRUD em tuplas — alterar fatos	Spanner consistente, ~10ms
Check(user, rel, obj) → bool	usuário pode? — single decision	p95 < 10ms global
Expand(obj, rel) → userset tree	quem tem essa relação? — debug	p95 < 50ms (recursivo)
Watch(namespace) → stream	mudanças em tempo real — cache invalidation	streaming Spanner

APIRead / Write

PerguntaCRUD em tuplas — alterar fatos

Latência alvoSpanner consistente, ~10ms

APICheck(user, rel, obj) → bool

Perguntausuário pode? — single decision

Latência alvop95 < 10ms global

APIExpand(obj, rel) → userset tree

Perguntaquem tem essa relação? — debug

Latência alvop95 < 50ms (recursivo)

APIWatch(namespace) → stream

Perguntamudanças em tempo real — cache invalidation

Latência alvostreaming Spanner

O 'new enemy problem' e os Zookies

🗺️ Por que reads ingênuos vazam dados pós-revogação

t0Alice escreve: doc#editor@bob (Bob é editor)

t1Alice remove tupla: doc#editor@bob (Bob não é mais)

t2Alice adiciona conteúdo secreto ao doc

t3Bob faz check(bob, viewer, doc) — réplica stale retorna PERMIT → vaza

⚠️

// Padrão de uso aplicacional
// 1. Write retorna zookie
const { zookie } = await zanzibar.write({
  tuple: 'doc:readme#editor@user:bob',
  op: 'delete',
});

// 2. App propaga zookie junto com o doc atualizado (cookie, header, db field)
await db.docs.update({ id: 'readme', content: secret, authz_zookie: zookie });

// 3. Próximo read SEMPRE envia zookie — garante consistência ≥ momento do delete
const allowed = await zanzibar.check({
  user: 'bob', rel: 'viewer', obj: 'doc:readme',
  consistency: { at_least_as_fresh: doc.authz_zookie }
});
// allowed === false, mesmo que a réplica local ainda tivesse a tupla antiga

Arquitetura interna: Spanner + Leopard + aclservers

🗺️ Stack interna do Zanzibar (paper §3)

aclserver

Frontend cache

Check evaluator

Leopard index

Spanner

Zookie = timestamp

aclserverprocess stateless de entrada, faz routing por namespace e paraleliza expansões

Leopardsistema de indexação que pré-materializa userset expansions para nested groups grandes (group hierarchies em empresas com milhares de membros). Crítico para perf.

Spannerstorage tuplas + TrueTime API. Reads com bounded staleness para perf, strong reads quando zookie é fornecido.

Watch APIstream de mudanças usado por Leopard para invalidar caches em ~ms

Performance no paper (mídia comum)

🗺️ Números canônicos do paper (production data)

QPS

~10M+ QPS pico

fan-out paralelo em nested groups

Latência

p50 ~3ms

p99 ~20ms global

p99.9 ~93ms

Disponibilidade

> 99.999% durante 3 anos

graceful degradation

💡

O que os filhos do Zanzibar herdaram

Sistema	Mantém do paper	Diverge
SpiceDB	Schema language, tuplas, check/expand, zookies (ZedTokens)	Postgres/CockroachDB como storage; sintaxe própria de schema
OpenFGA	Tuplas, namespaces, modeling, check	Adiciona conditional tuples (ABAC), mais simples, foco em DX
Auth0 FGA	OpenFGA gerenciado	SaaS-only, multi-region cloud-hosted
AWS Verified Permissions	Conceito de policy-as-data + per-resource	Cedar (não Zanzibar — política como código), schema separado

SistemaSpiceDB

Mantém do paperSchema language, tuplas, check/expand, zookies (ZedTokens)

DivergePostgres/CockroachDB como storage; sintaxe própria de schema

SistemaOpenFGA

Mantém do paperTuplas, namespaces, modeling, check

DivergeAdiciona conditional tuples (ABAC), mais simples, foco em DX

SistemaAuth0 FGA

Mantém do paperOpenFGA gerenciado

DivergeSaaS-only, multi-region cloud-hosted

SistemaAWS Verified Permissions

Mantém do paperConceito de policy-as-data + per-resource

DivergeCedar (não Zanzibar — política como código), schema separado

Perguntas frequentes do paper

❓ Zanzibar substitui banco de dados?

Não. Zanzibar é só metadados de autorização. Os recursos (docs, vídeos) continuam em outros sistemas. Zanzibar guarda apenas tuplas .

❓ Como Zanzibar lida com ABAC (atributos dinâmicos)?

❓ Por que zookies em vez de simplesmente strong reads?

❓ ReBAC torna RBAC obsoleto?

Resumo executivo

Zanzibar (Pang et al, USENIX ATC 2019) é o paper-base de ReBAC moderno. Leitura obrigatória.
Insight central: autorização vira dado (tuplas obj#rel@user), não regra estática.
Userset rewrites (union/intersection/computed/tuple-to-userset) modelam herança e composição declarativamente.
APIs: Check / Expand / Read-Write / Watch. Sem DSL de policy — combina-se com OPA/Cedar para ABAC.
Zookies (tokens com Spanner TS) resolvem o "new enemy problem" sem custo de strong reads em todo path.
Performance produção Google: ~10M QPS, p99 ~20ms global, 99.999% disponibilidade durante anos.
Filhos: SpiceDB, OpenFGA (próximos módulos). Cedar diverge — policy-as-code, não data.

O paper que reordenou o campo

O insight: relação como dado, não como policy

Userset rewrites: o engine de derivação

A API: 4 verbos que bastam

O 'new enemy problem' e os Zookies

Arquitetura interna: Spanner + Leopard + aclservers

Performance no paper (mídia comum)

O que os filhos do Zanzibar herdaram

Perguntas frequentes do paper

Resumo executivo

Próximos passos sugeridos

Discussão

Zanzibar: o paper do Google que mudou autorização

O paper que reordenou o campo

O insight: relação como dado, não como policy

Userset rewrites: o engine de derivação

A API: 4 verbos que bastam

O 'new enemy problem' e os Zookies

Arquitetura interna: Spanner + Leopard + aclservers

Performance no paper (mídia comum)

O que os filhos do Zanzibar herdaram

Perguntas frequentes do paper

Resumo executivo

Próximos passos sugeridos

Discussão