Appearance
权限与访问令牌
平台中的权限主要分为用户权限和访问令牌权限。
用户权限用于人在 Web 平台中操作。访问令牌用于程序、服务器或设备调用开放 API。
【配图占位:组织用户管理页截图,突出角色和项目访问范围】
用户角色
组织用户通常包含以下角色:
| 角色 | 说明 |
|---|---|
| 管理员 | 可管理组织、用户、项目和设备等配置 |
| 操作员 | 可进行日常设备和数据操作 |
| 只读 | 只能查看数据,不能修改配置 |
实际可操作范围以平台权限配置为准。
项目访问范围
用户可以拥有:
- 所有项目权限
- 指定项目权限
当用户只负责某个现场或客户时,建议只授予对应项目权限。
访问令牌
访问令牌用于开放 API 调用。
典型用途:
- 后台服务定期查询数据
- 第三方系统读取项目、设备和点位
- 外部程序创建导出任务
- 设备或网关上报数据
访问令牌应像密码一样保存。
【配图占位:访问令牌管理页截图,突出创建令牌、启用状态、过期时间】
Token 权限
创建访问令牌时,应按用途授予最小权限。
| 用途 | 建议权限 |
|---|---|
| 只查询数据 | 只读 |
| 创建导出任务 | 按 API 要求授予对应权限 |
| 控制设备 | 操作权限,并限制项目范围 |
| 后台管理项目和设备 | 仅授予可信服务器使用 |
过期时间
建议为访问令牌设置过期时间。
长期运行的系统可以使用较长有效期,但应建立轮换机制。临时调试使用的令牌应尽快禁用或删除。
安全建议
- 不要把 Token 写入前端页面或公开仓库。
- 不要在多人共享文档中明文保存 Token。
- 为不同系统创建不同 Token,方便追踪和撤销。
- 不再使用的 Token 应禁用或删除。
- 怀疑泄露时,应立即禁用旧 Token 并创建新 Token。
与开放 API 的关系
调用开放 API 时,通常需要在请求头中携带:
http
Authorization: Bearer <ACCESS_TOKEN>
X-Organization-Slug: your-org-slug完整认证规范请参考 开放 API 概述。
