Appearance
权限验收
概述
本条目定义“灵妙儿带你游西湖”项目中的权限验收标准,用于验证不同角色的访问边界与操作限制是否符合预期。
验收标准
| 验收点 | 标准 |
|---|---|
| 游客权限 | 游客仅可浏览内容,不可执行资产与提交操作 |
| 用户权限 | 用户仅能访问本人积分、订单、地址、中奖、图鉴等数据 |
| 后台权限 | 运营、履约、客服角色不可互相越权访问不相关数据 |
角色要求
游客
- 仅允许浏览公开内容
- 禁止执行资产相关操作
- 禁止执行提交类操作
用户
- 仅允许访问与本人相关的数据
- 包括但不限于:
- 积分
- 订单
- 地址
- 中奖信息
- 图鉴
后台角色
- 适用角色:运营、履约、客服
- 各角色仅可访问职责范围内的数据与功能
- 不允许跨角色越权访问不相关数据
验收重点
- 是否正确区分游客、登录用户、后台角色的权限范围
- 是否限制用户仅访问本人数据
- 是否防止后台不同职能角色之间的越权访问
备注
- “后台权限”中关于运营、履约、客服角色权限隔离的描述来源于 AI 假设项 A1。