返回首页
安全与权限Authorization

授权

验证“你能做什么”的过程。登录了 ≠ 什么都能做。普通用户能评论,不能删帖;编辑能发布文章,不能改支付配置。

做什么会用到

  • 01做内容社区:普通用户只能发帖删自己的;版主能删别人的;管理员能封号
  • 02做 SaaS:免费用户功能受限,付费用户解锁高级功能 —— 就是授权判断
  • 03做团队协作(Notion 类):owner / admin / editor / viewer 不同角色权限不同
  • 04授权判断必须在后端做:前端藏按钮没用,懂行的用户直接调接口绕过

想用它怎么问 AI

我要做【XXX 产品】,用户分【角色 A / B / C】。请帮我设计授权模型:谁能做什么、怎么在后端代码里判断(推荐用 CASL / 自己写 middleware),给出代码示例。

打个比方

像门已经开了,但不是所有房间你都能进。

相关词

鉴权角色权限

容易混淆

鉴权