管理員入口
瞭解 RBAC 如何保護管理員後臺。
管理員後臺位於 /admin,但訪問會經過權限判斷。沒有對應 RBAC 角色或權限的用戶,不應該進入管理員專屬界面。
使用角色分配腳本時,需要傳入郵箱或用戶 ID:
npm run rbac:assign -- --email=user@example.com --role=admin
可用角色包括 super_admin、admin、editor 和 viewer。
- 用戶必須已經存在於數據庫中。
- 必須存在對應角色分配記錄。
- 管理後臺頁面和 server actions 都必須執行權限校驗。
- 公共頁面只有在用戶已授權時才應展示
/admin 入口。
