feat(sync): keycloak as source-of-truth with auto catalog sync and token refresh
This commit is contained in:
Chris
@@ -9,6 +9,7 @@
|
||||
## 權限模型(已定版)
|
||||
- `permission` 正式改名為 `role`。
|
||||
- `role` 僅能指派給 `site`,不可直接指派給 `user`。
|
||||
- `system` / `role` 以 Keycloak 為唯一建立來源;member 後台只做同步顯示與關聯。
|
||||
- `user` 的有效角色由以下關聯推導:
|
||||
- `user_sites`(使用者屬於哪些 site)
|
||||
- `site_roles`(site 擁有哪些 role)
|
||||
@@ -25,6 +26,7 @@
|
||||
- 群組階層:`Company Group -> Site SubGroup`。
|
||||
- 系統角色:以 Keycloak client role 表示,對應 DB `roles`。
|
||||
- `site_roles` 代表某 Site 擁有的 Keycloak role 集合。
|
||||
- 補齊策略:若 Keycloak 有、DB 沒有,後台同步流程會自動 upsert 到 DB。
|
||||
- 使用者加入 Site 時,透過同步邏輯使其在 IdP 端取得對應角色能力。
|
||||
|
||||
## 後台安全線
|
||||
|
||||
Reference in New Issue
Block a user