权限管理
权限管理功能基于RBAC(基于角色的访问控制)模型,提供灵活的用户权限分配和管理。
角色体系
系统预设三级角色:
| 角色 | 代码 | 说明 |
|---|---|---|
| 管理员 | ADMIN | 系统最高权限,可管理所有功能 |
| 经销商 | DEALER | 设备管理、备份恢复等业务功能 |
| 普通用户 | USER | 只读权限,查看设备和备份信息 |
权限矩阵
设备管理权限
| 操作 | 管理员 | 经销商 | 普通用户 |
|---|---|---|---|
| 查看设备列表 | ✅ | ✅ | ✅ |
| 注册设备 | ✅ | ✅ | ❌ |
| 激活设备 | ✅ | ✅ | ❌ |
| 锁定/解锁设备 | ✅ | ✅ | ❌ |
| 注销设备 | ✅ | ❌ | ❌ |
| 批量导入 | ✅ | ✅ | ❌ |
应用管理权限
| 操作 | 管理员 | 经销商 | 普通用户 |
|---|---|---|---|
| 查看版本列表 | ✅ | ✅ | ✅ |
| 创建版本 | ✅ | ❌ | ❌ |
| 上传安装包 | ✅ | ❌ | ❌ |
| 发布版本 | ✅ | ❌ | ❌ |
| 删除版本 | ✅ | ❌ | ❌ |
数据管理权限
| 操作 | 管理员 | 经销商 | 普通用户 |
|---|---|---|---|
| 查看备份列表 | ✅ | ✅ | ✅ |
| 创建备份 | ✅ | ✅ | ❌ |
| 恢复数据 | ✅ | ✅ | ❌ |
| 删除备份 | ✅ | ❌ | ❌ |
系统管理权限
| 操作 | 管理员 | 经销商 | 普通用户 |
|---|---|---|---|
| 用户管理 | ✅ | ❌ | ❌ |
| 角色分配 | ✅ | ❌ | ❌ |
| 操作日志 | ✅ | ✅(仅查看) | ❌ |
| 系统配置 | ✅ | ❌ | ❌ |
权限分配
分配角色
登录厂家管理系统(需管理员权限)
→ 系统管理
→ 用户管理
→ 选择目标用户
→ 点击"编辑"
→ 选择角色
→ 保存查看用户权限
用户管理
→ 选择目标用户
→ 查看"权限详情"标签
→ 显示该用户拥有的所有权限权限范围说明
管理员 (ADMIN)
拥有系统所有功能的完全控制权:
- 所有设备管理操作
- 应用版本的完整生命周期管理
- 数据备份和恢复
- 用户账号管理和权限分配
- 系统配置和日志查看
- 导出和审计功能
经销商 (DEALER)
面向设备经销和维护场景:
- 设备注册、激活和日常管理
- 创建和恢复数据备份
- 查看操作日志
- 查看应用版本信息
普通用户 (USER)
面向查询和浏览场景:
- 查看设备列表和状态
- 查看备份记录
- 查看应用版本信息
安全策略
最小权限原则
- 默认为新用户分配最低权限角色
- 根据实际工作需要逐步提升权限
- 定期审查权限分配是否合理
权限变更审计
所有权限变更操作都会记录到操作日志:
- 角色变更的操作人和时间
- 变更前后的角色信息
- 变更原因(如有填写)
敏感操作保护
高风险操作需要额外验证:
| 操作 | 额外验证 |
|---|---|
| 删除用户 | 需要输入管理员密码 |
| 批量设备注销 | 需要二次确认 |
| 导出用户数据 | 记录详细审计日志 |
| 修改管理员权限 | 需要超级管理员审批 |
注意事项
- 遵循最小权限原则,避免过度授权
- 定期审查用户权限,及时回收不需要的权限
- 离职员工应立即禁用账号并回收权限
- 重要权限变更建议通过审批流程
- 保持管理员账号的数量在合理范围内