Switch access control from groups to realm roles
This commit is contained in:
Chris
@@ -35,8 +35,9 @@
|
||||
|
||||
## 後台安全線
|
||||
- `/admin/*` 必須 Bearer token。
|
||||
- 後端以 admin 群組白名單判定是否可進後台。
|
||||
- 有 Keycloak 帳號但不在 admin 白名單者,後台 API 一律拒絕。
|
||||
- 後端以 Keycloak realm role 判定是否可進站與後台。
|
||||
- 未具備 `MEMBER_REQUIRED_REALM_ROLES` 的帳號,`/me` 與 `/admin/*` 皆拒絕。
|
||||
- 未具備 `ADMIN_REQUIRED_REALM_ROLES` 的帳號,`/admin/*` 拒絕。
|
||||
|
||||
## API 白名單
|
||||
- 保留 `api_clients` 做系統對系統呼叫控管。
|
||||
|
||||
@@ -51,7 +51,8 @@ npm run dev
|
||||
- `KEYCLOAK_CLIENT_SECRET`
|
||||
- `KEYCLOAK_ADMIN_CLIENT_ID`
|
||||
- `KEYCLOAK_ADMIN_CLIENT_SECRET`
|
||||
- `ADMIN_REQUIRED_GROUPS`
|
||||
- `MEMBER_REQUIRED_REALM_ROLES`
|
||||
- `ADMIN_REQUIRED_REALM_ROLES`
|
||||
- `CACHE_BACKEND`(`memory` 或 `redis`)
|
||||
- `CACHE_REDIS_URL`
|
||||
- `CACHE_PREFIX`
|
||||
|
||||
Reference in New Issue
Block a user