用户管理与权限设置

用户管理与权限设置

用户管理概述

DoraCMS 提供完善的用户管理系统，支持多角色权限控制，可以满足不同规模网站的用户管理需求。

用户类型

• 超级管理员：拥有所有权限，可以管理系统设置
• 管理员：可以管理内容和普通用户
• 编辑：可以发布和编辑内容
• 作者：只能管理自己的内容
• 普通用户：只能查看和评论

用户管理

查看用户列表

1. 登录管理后台
2. 点击左侧菜单"用户管理" → "用户列表"
3. 查看所有注册用户信息

用户列表信息

• 用户名：用户的登录名
• 邮箱：用户邮箱地址
• 角色：用户权限角色
• 状态：激活/禁用状态
• 注册时间：用户注册日期
• 最后登录：最后一次登录时间

添加新用户

手动添加用户

1. 点击"新增用户"按钮
2. 填写用户基本信息：
   • 用户名：3-20个字符，支持字母、数字、下划线
   • 邮箱：有效的邮箱地址
   • 密码：8位以上，包含字母和数字
   • 确认密码：再次输入密码确认
   • 真实姓名：用户真实姓名（可选）
   • 手机号码：联系电话（可选）

1. 选择用户角色：
   • 从角色下拉菜单中选择合适的角色
   • 可以分配多个角色

1. 设置用户状态：
   • 激活：用户可以正常登录使用
   • 禁用：用户无法登录系统

1. 点击"保存"完成用户创建

批量导入用户

1. 点击"批量导入"按钮
2. 下载用户导入模板
3. 按模板格式填写用户信息
4. 上传 Excel 文件
5. 系统自动创建用户账号

导入模板格式：

用户名 | 邮箱 | 密码 | 角色 | 真实姓名
user1 | user1@example.com | 123456 | editor | 张三
user2 | user2@example.com | 123456 | author | 李四

编辑用户信息

修改基本信息

1. 在用户列表中点击"编辑"按钮
2. 修改用户信息：
   • 基本信息：姓名、邮箱、手机等
   • 角色权限：分配或移除角色
   • 账号状态：激活或禁用账号

1. 点击"保存"确认修改

重置用户密码

1. 在用户编辑页面点击"重置密码"
2. 选择重置方式：
   • 系统生成：自动生成随机密码
   • 手动设置：管理员设置新密码
   • 邮件重置：发送重置链接到用户邮箱

1. 确认重置操作

用户状态管理

激活/禁用用户

• 激活用户：用户可以正常登录和使用系统
• 禁用用户：用户无法登录，但数据保留

删除用户

⚠️ 注意：删除用户会同时删除其创建的内容，请谨慎操作。

1. 选择要删除的用户
2. 点击"删除"按钮
3. 选择删除方式：
   • 仅删除用户：保留用户创建的内容
   • 删除用户和内容：同时删除用户及其内容
4. 确认删除操作

角色管理

预设角色

超级管理员 (Super Admin)

• 权限范围：所有功能
• 主要职责：
  • 系统设置和配置
  • 用户和角色管理
  • 插件和主题管理
  • 数据备份和恢复

管理员 (Admin)

• 权限范围：除系统设置外的所有功能
• 主要职责：
  • 内容管理和审核
  • 用户管理
  • 评论管理
  • 媒体库管理

编辑 (Editor)

• 权限范围：内容管理相关功能
• 主要职责：
  • 发布和编辑所有文章
  • 管理分类和标签
  • 审核评论
  • 管理媒体文件

作者 (Author)

• 权限范围：自己的内容管理
• 主要职责：
  • 发布和编辑自己的文章
  • 上传媒体文件
  • 回复评论

普通用户 (User)

• 权限范围：基本浏览和互动
• 主要职责：
  • 浏览网站内容
  • 发表评论
  • 个人资料管理

自定义角色

创建新角色

1. 点击"角色管理" → "新增角色"
2. 填写角色信息：
   • 角色名称：角色的显示名称
   • 角色标识：系统内部使用的标识符
   • 角色描述：角色的详细说明

1. 设置角色权限：
   • 从权限列表中选择该角色拥有的权限
   • 可以按模块分组设置权限

1. 保存角色配置

权限分类

内容管理权限：

• 文章管理：创建、编辑、删除、发布文章
• 页面管理：管理静态页面
• 分类管理：管理内容分类
• 标签管理：管理内容标签
• 评论管理：审核、回复、删除评论

媒体管理权限：

• 文件上传：上传媒体文件
• 文件管理：编辑、删除媒体文件
• 文件夹管理：创建、管理文件夹

用户管理权限：

• 用户查看：查看用户列表
• 用户编辑：编辑用户信息
• 用户删除：删除用户账号
• 角色管理：管理用户角色

系统管理权限：

• 系统设置：修改系统配置
• 主题管理：安装、切换主题
• 插件管理：安装、启用插件
• 数据管理：备份、恢复数据

权限控制

基于角色的权限控制 (RBAC)

DoraCMS 采用 RBAC 模型进行权限管理：

用户 → 角色 → 权限 → 资源

权限继承

• 子角色可以继承父角色的权限
• 可以为用户分配多个角色
• 权限取并集，拥有所有角色的权限

权限检查

系统在以下情况会进行权限检查：

• 用户登录时验证角色权限
• 访问管理页面时检查页面权限
• 执行操作时验证操作权限
• API 调用时验证接口权限

细粒度权限控制

内容权限

• 所有内容：可以管理所有用户的内容
• 自己的内容：只能管理自己创建的内容
• 指定分类：只能管理特定分类的内容

操作权限

• 查看：可以查看内容列表和详情
• 创建：可以创建新内容
• 编辑：可以修改现有内容
• 删除：可以删除内容
• 发布：可以发布内容到前台

权限配置示例

内容编辑角色配置

{
  "role": "content_editor",
  "permissions": [
    "article.view",
    "article.create",
    "article.edit",
    "article.publish",
    "category.view",
    "tag.view",
    "media.upload",
    "media.view"
  ],
  "restrictions": {
    "article": {
      "scope": "own",
      "categories": ["tech", "news"]
    }
  }
}

用户注册设置

注册方式配置

开放注册

• 完全开放：任何人都可以注册
• 邀请注册：需要邀请码才能注册
• 关闭注册：不允许新用户注册

注册审核

• 自动激活：注册后立即激活账号
• 邮箱验证：需要验证邮箱后激活
• 管理员审核：需要管理员手动审核

注册表单配置

必填字段

• 用户名
• 邮箱地址
• 密码

可选字段

• 真实姓名
• 手机号码
• 个人简介
• 头像上传

验证规则

• 用户名：3-20个字符，不能重复
• 邮箱：有效邮箱格式，不能重复
• 密码：8位以上，包含字母和数字
• 手机：有效手机号格式

用户行为监控

登录日志

记录用户登录行为：

• 登录时间
• 登录 IP 地址
• 登录设备信息
• 登录结果（成功/失败）

操作日志

记录用户重要操作：

• 内容发布和修改
• 用户信息变更
• 权限变更
• 系统设置修改

安全监控

异常行为检测

• 频繁登录失败
• 异地登录
• 批量操作
• 权限越界尝试

安全策略

• 登录限制：连续失败后锁定账号
• 会话管理：超时自动退出
• IP 白名单：限制管理员登录 IP
• 双因子认证：增强账号安全

用户数据管理

用户资料

基本信息

• 用户名、邮箱、手机
• 真实姓名、性别、生日
• 个人简介、头像

扩展信息

• 职业、公司、地址
• 社交媒体账号
• 个人网站链接

隐私设置

信息公开程度

• 公开：所有人可见
• 注册用户可见：仅登录用户可见
• 私有：仅自己可见

数据导出

用户可以申请导出个人数据：

• 基本资料信息
• 发布的内容
• 评论记录
• 操作日志

数据删除

用户注销

用户可以申请注销账号：

• 删除个人资料
• 匿名化发布内容
• 清除操作日志

GDPR 合规

• 数据处理透明化
• 用户同意机制
• 数据可携带权
• 被遗忘权

最佳实践

角色设计原则

1. 最小权限原则：只给用户必需的权限
2. 职责分离：不同角色负责不同功能
3. 权限继承：合理设计角色层级
4. 定期审查：定期检查权限分配

用户管理建议

1. 定期清理：删除长期不活跃的用户
2. 密码策略：强制使用强密码
3. 权限审计：定期审查用户权限
4. 安全培训：对管理员进行安全培训

安全建议

1. 启用双因子认证：提高账号安全性
2. 监控异常行为：及时发现安全威胁
3. 定期备份：备份用户数据
4. 更新系统：及时更新系统补丁