08-07 权限系统:谁能看,谁能改
08-07 权限系统 控制用户能访问哪些资源、能执行哪些动作。它是 03-09 认证与授权 里的“授权”部分。
一、它解决什么
它解决的是不同角色能力不同的问题。普通用户、管理员、运营、财务不应该看到同一套门。
二、一个比喻
像公司门禁:同一张工牌,研发能进机房,访客只能进会议室。
三、放到系统里看
常见模型包括 RBAC 角色权限、ABAC 属性权限、资源归属校验。权限必须在后端强制执行。
四、常见坑 / 学习抓手
常见坑是只在前端隐藏按钮。按钮隐藏不等于接口安全,攻击者可以直接调 API。
一句话总结
权限系统要在后端判断谁能对什么做什么。