权限
权限允许对用户访问特定功能和操作进行细粒度控制。通过分配权限,管理员可以限制用户访问选定资源,以及他们与资产、类别和文件夹的交互。
用户被分配到具有分配的权限集的组。
根据用户的权限,UI 元素可能被隐藏。例如,如果用户没有创建资产的权限,则上传按钮将对我们不可用,并且拖放区域将被禁用。类似地,如果用户所属的组没有删除文件夹的权限,则“删除”按钮将不可用,并且Del快捷键也将不起作用。
这是一个高级功能,因此可能并非所有商业计划都提供。
# 权限结构
组作为管理用户访问和权限的组织单元。用户组允许管理员将权限分配给多个用户。管理员和超级管理员可以创建组。用户通过 JWT 分配到特定组或多个组。每个组都可以分配到特定的权限集和类别。
默认组是一个特殊组,存在于每个工作区中。它在 JWT 中未定义组的情况下作为后备。它与工作区一起创建,并且不可删除。默认情况下,它具有所有权限,但可以手动更改。
权限引入对以下操作的控制
- 访问类别:允许用户查看特定类别的内容。具有此权限的用户可以浏览和访问存储在指定类别中的资产。没有此权限,类别将不会列出。在没有权限的情况下通过其 ID 访问此类别将导致
403状态错误。 - 创建资产:授予用户上传新资产和将现有资产复制到特定类别的能力。
- 删除资产:使能用户从类别或文件夹中删除资产。
- 修改资产:允许用户编辑和更改现有资产。具有此权限的用户可以通过覆盖其内容来更新资产(使用 REST API 和图像编辑器以及
Overwrite选项)。 - 修改资产元数据:为用户提供编辑和更新与资产关联的元数据的能力。元数据包括标题、描述和标签等信息,但不包括内容。
- 创建文件夹:授予用户创建新文件夹的特权。这还包括通过
Folder upload功能创建文件夹。 - 修改文件夹元数据:使能用户编辑和更新与文件夹关联的元数据(
name)。 - 删除文件夹:允许用户删除文件夹。
# 创建用户组
要创建新组,请转到 CKBox 管理面板的“设置”部分。在那里,选择“权限”选项卡。使用 + 按钮添加新组。
在弹出对话框中键入所需组名。点击“保存”确认创建新组。
新创建的用户组现在可以在“权限”选项卡中的组列表中访问。
组名下方显示一个 ID。稍后需要它将用户分配到组。可以通过“管理权限”选项添加权限集。
# 管理权限
要将一组权限分配给新组,请点击要添加权限的组右侧的“管理权限”按钮。然后,使用 + 按钮添加新的权限规则。
从列表中,使用切换开关选择要启用的权限。
如果需要,使用切换开关选择新的权限规则应应用到的特定类别。如果关闭,它将应用于所有 CKBox 类别。
设置完权限后,点击“保存”。
# 将用户分配到组
用户可以在 JWT 中的auth.ckbox.groups配置选项中分配到组。组必须列为 ID。这些可以在设置控制台中“权限”管理窗格的用户组列表中找到。组 ID 显示在组名下方,如下所示。
在下面,您可以看到一个分配给两个组的示例用户。
{
"aud": "62476038ee047dca1a0b",
"sub": "RamlmkVZBgG6BW2DeUi4d",
"auth": {
"ckbox": {
"role": "user",
"groups": ["d85fe574fd2a", "kCIUkF4iUPRj"]
}
},
"iat": 1721311797,
"exp": 1721315397
}
权限仅针对普通用户检查。管理员和超级管理员默认拥有所有访问权限。
如果 JWT 不包含权限组,用户将回退到默认组。这意味着,如果默认组权限未调整,他们将拥有所有授予的权限,因为这是为该组设置的规则。
# 处理冲突的权限
在用户被分配到多个具有不同权限的组的情况下,例如既是拥有“视频”类别访问权限的“营销团队”成员,又是拥有“文档”类别访问权限的“销售团队”成员,冲突权限原则就会发挥作用。当权限冲突时,CKBox 默认采用“允许”解决方案。这意味着用户的有效权限是其所有组分配的并集。
例如,假设一个用户是“营销团队”的一部分,该团队允许访问“视频”类别,并且是“销售团队”的一部分,该团队允许访问“文档”类别。在这种情况下,用户将能够访问“视频”和“文档”类别。这确保了用户根据其组成员身份拥有尽可能广泛的访问权限。
此外,如果“营销团队”有权创建和修改资产,而“销售团队”有权删除资产,则用户将继承这两个权限。用户将能够在他们有权访问的类别中创建、修改和删除资产。这种方法通过确保用户不会因重叠的组权限而遇到意外的访问拒绝,简化了权限管理。
因此,用户可以执行其任何分配组允许的任何操作。这种机制在用户可能需要访问和交互各种资源以有效执行其角色的协作环境中至关重要。