# member.ose.tw 架構總覽

## 核心模型
- 業務層：`companies -> sites -> users`
- 功能層：`systems -> modules`
- 權限層：`permission_groups`（群組中心）

## 權限規則
- `scope_type` 固定 `site`
- `action` 僅 `view` / `edit`（可同時存在）
- 權限透過群組下發給會員，不走細粒度 direct permission 主流程

## 後台安全線
- 所有 `/admin/*` 需 Bearer token
- 後端僅依 `ADMIN_REQUIRED_GROUPS` 判定可否進後台
- 不在群組就算有網址、有 Authentik 帳號也會 403

## 會員資料與 Authentik 對齊
- `username`：登入帳號（可編輯，可同步）
- `display_name`：顯示名稱（可編輯，可同步到 Authentik `name`）
- `user_sub`：由 Authentik UID 回寫
- `idp_user_id`：保留 Authentik user id，供更新/密碼重設

## 密碼流程
- 目前：後台可觸發重設密碼（產生臨時密碼）
- SMTP 開通後：可再補「發送密碼設定/重設通知」自動化