权限与账号问题
Crest 用户、角色、菜单权限、资源权限和账号生命周期常见问题。
权限问题不能仅确认“用户是否存在账号”。Crest 中常见权限由菜单权限、功能权限、资源权限和数据权限共同决定。
权限管理截图展示的是管理员排查权限问题的核心入口。左侧通常用于选择角色或权限对象,右侧用于配置菜单、功能或资源范围。排查时先确认用户所属角色,再确认角色拥有哪些菜单和资源,不应直接授予管理员权限。
用户能登录但看不到菜单
可能原因:
- 用户没有加入任何角色。
- 角色没有配置菜单权限。
- 用户加入了错误组织或角色。
- SSO 自动创建用户后只分配了默认低权限角色。
处理顺序:
- 进入用户管理,确认用户状态正常。
- 查看用户所属角色。
- 进入权限管理,确认角色勾选了对应菜单。
- 让用户退出后重新登录。
- 使用普通测试账号复现验证。
用户看不到某个仪表盘或大屏
| 可能原因 | 处理 |
|---|---|
| 没有资源权限 | 给用户或角色授权该资源 |
| 资源被移动 | 检查资源所在目录或空间 |
| 资源被删除 | 查看审计日志,确认删除记录 |
| 角色权限被回收 | 检查最近权限变更 |
| 分享链接关闭 | 在分享管理中检查链接状态 |
门户里看不到已发布资源
数据门户只展示当前账号可访问的已发布资源。后台管理员能看到资源,不代表普通用户一定能在门户中看到。
排查顺序:
- 资源是否已经发布。
- 当前账号是否被直接授权、组织授权或角色授权。
- 当前账号是否登录到了正确环境。
- 资源是否被移动、删除或取消发布。
- 搜索关键字和资源类型筛选是否过窄。
- 用普通测试账号复现,确认不是管理员视角误判。
角色管理页用于维护用户职责分类。建议把角色按职责设计,而不是按个人设计。例如数据管理员、内容编辑者、业务查看者、安全审计员。后续人员变动时,只需调整用户归属,不需要重做权限模型。
用户能看资源但不能编辑
这通常是功能权限或资源操作权限不足。处理方法:
- 确认该用户是否具备资源编辑职责。
- 检查角色是否有编辑功能权限。
- 检查资源是否授权编辑而不只是查看。
- 确认资源是否被其他用户锁定或正在编辑。
- 使用普通测试账号验证按钮是否出现。
v1.5.6 起,只读可见资源不会展示复制、移动、重命名和删除等管理入口。若用户需要复制或维护仪表盘、大屏,应授予资源管理权限,而不是只授予查看权限。
公开分享链接属于只读访问链路。v1.5.7 起,即使用户已经登录后台,访问 /link/:uuid 也会按分享页策略打开;后台工作台、数据源、数据集等管理路径仍按菜单权限和功能权限校验。排查权限问题时,不要把分享页能访问误判为后台资源权限已开放。
管理员权限过度集中
管理员权限应按职责拆分,不建议所有管理员都拥有完整系统管理权限。
建议拆分:
| 角色 | 权限 |
|---|---|
| 平台管理员 | 用户、角色、系统参数、审计 |
| 数据管理员 | 数据源、数据集、缓存同步 |
| 内容管理员 | 仪表盘、大屏、分享和导出 |
| 安全管理员 | 权限复核、审计、SSO |
离职账号如何处理
- 禁用账号。
- 回收角色。
- 检查其创建的分享链接。
- 检查其负责的数据源、数据集、仪表盘和大屏。
- 将关键资源移交给新负责人。
- 在审计日志中保留处理记录。
用户管理页用于确认账号状态、归属组织、角色和基础信息。离职、转岗、临时外包和 SSO 自动创建用户,都应该先在这里确认账号是否仍然有效。
权限修改后用户仍然看不到
可能原因:
- 用户未重新登录。
- 浏览器缓存旧菜单。
- 修改的是另一个角色。
- 用户同时属于多个角色,实际权限判断不符合预期。
- 资源权限和菜单权限只配置了其中一项。
处理建议:让用户退出重新登录,并用管理员视角确认用户、角色、菜单和资源授权链路。
权限排查示例
示例:运营同事看不到“数据大屏”
- 在用户管理中搜索该用户,确认账号未禁用。
- 查看用户所属角色,确认是否是业务查看者或内容编辑者。
- 在权限管理中打开对应角色,确认菜单中包含“数据大屏”。
- 确认对应大屏资源已经授权给该用户或角色。
- 让用户退出重新登录,再访问数据大屏列表。
- 如果仍不可见,检查资源是否被移动、删除或分享状态变化。
示例:用户能打开大屏但看不到数据
这种情况通常不是菜单权限问题,而是数据权限、数据集过滤或数据源问题。先用管理员账号打开同一大屏确认是否有数据;管理员有数据而普通用户无数据时,再检查该用户的数据权限、行权限或图表过滤条件。