27 lines
972 B
Markdown
27 lines
972 B
Markdown
# member.ose.tw 架構總覽
|
||
|
||
## 核心模型
|
||
- 業務層:`companies -> sites -> users`
|
||
- 功能層:`systems -> modules`
|
||
- 權限層:`permission_groups`(群組中心)
|
||
|
||
## 權限規則
|
||
- `scope_type` 固定 `site`
|
||
- `action` 僅 `view` / `edit`(可同時存在)
|
||
- 權限透過群組下發給會員,不走細粒度 direct permission 主流程
|
||
|
||
## 後台安全線
|
||
- 所有 `/admin/*` 需 Bearer token
|
||
- 後端僅依 `ADMIN_REQUIRED_GROUPS` 判定可否進後台
|
||
- 不在群組就算有網址、有 Authentik 帳號也會 403
|
||
|
||
## 會員資料與 Authentik 對齊
|
||
- `username`:登入帳號(可編輯,可同步)
|
||
- `display_name`:顯示名稱(可編輯,可同步到 Authentik `name`)
|
||
- `user_sub`:由 Authentik UID 回寫
|
||
- `idp_user_id`:保留 Authentik user id,供更新/密碼重設
|
||
|
||
## 密碼流程
|
||
- 目前:後台可觸發重設密碼(產生臨時密碼)
|
||
- SMTP 開通後:可再補「發送密碼設定/重設通知」自動化
|