08-07 权限系统:谁能看,谁能改

08-07 权限系统 控制用户能访问哪些资源、能执行哪些动作。它是 03-09 认证与授权 里的“授权”部分。


一、它解决什么

它解决的是不同角色能力不同的问题。普通用户、管理员、运营、财务不应该看到同一套门。

二、一个比喻

像公司门禁:同一张工牌,研发能进机房,访客只能进会议室。

三、放到系统里看

常见模型包括 RBAC 角色权限、ABAC 属性权限、资源归属校验。权限必须在后端强制执行。

四、常见坑 / 学习抓手

常见坑是只在前端隐藏按钮。按钮隐藏不等于接口安全,攻击者可以直接调 API。

一句话总结

权限系统要在后端判断谁能对什么做什么。


关联笔记