991 B
991 B
member.ose.tw 架構總覽
核心模型
- 業務層:
companies -> sites -> users - 功能層:
systems -> modules - 權限層:
permission_groups(群組中心)
權限規則
scope_type固定siteaction僅view/edit(可同時存在)- 權限透過群組下發給會員,不走細粒度 direct permission 主流程
後台安全線
- 所有
/admin/*需 Bearer token - 後端僅依
ADMIN_REQUIRED_GROUPS判定可否進後台 - 不在群組就算有網址、有 IdP 帳號也會 403
會員資料與 IdP 對齊(Keycloak 優先)
username:登入帳號(可編輯,可同步)display_name:顯示名稱(可編輯,可同步到 IdP profile)user_sub:由 IdP 主體識別值回寫idp_user_id:保存 IdP 端 user id(字串),供更新/密碼重設
密碼流程
- 目前:後台可觸發重設密碼(產生臨時密碼)
- SMTP 開通後:可再補「發送密碼設定/重設通知」自動化