👥 成员与权限（成员管理）

成员管理用于控制系统用户的访问范围与操作能力，核心是“用户 + 角色 + 分组权限”的组合。

一句话理解

谁可以登录系统、能看到哪些菜单、能操作哪些环境，都由这里的“成员与权限”决定。

🧩 预设角色：先选“身份”

系统默认提供两类核心角色，开箱即用：

• 👑 企业管理员

  • 通常用于企业负责人 / 技术负责人
  • 拥有系统内绝大部分功能权限和菜单访问权限
  • 可管理团队成员、分组权限、费用中心等关键模块
  • 通常具备“全部分组权限”，可以看到全部环境

• 👤 普通用户

  • 用于运营同学、测试人员、外包账号等日常使用场景
  • 一般只需要访问与自己工作相关的菜单页面
  • 环境访问范围由“分组权限”决定（见《分组管理》）

你可以在「角色管理」中新增更多自定义角色，但这两个预设角色已经覆盖了大多数团队的常见需求。

🧱 常用操作：围绕“人”做的事

在成员管理（角色用户）界面，可以完成以下常见操作：

• ➕ 新增用户

• 通过“创建新用户”添加账号，设置用户名、昵称、初始密码等

• 新增完成后，可以将该用户分配到合适的角色

• 🏷 指定角色

• 在用户列表中选择某个用户，点击「指定角色」

• 选择目标角色（企业管理员 / 普通用户 / 自定义角色等）

• 确认后，该用户将按新角色的权限进行访问

• 🟢🟥 在线状态 / 启用禁用

  • 用户列表中可看到用户当前状态
  • 通过开关进行启用 / 禁用
  • 禁用后的账号无法继续登录或操作系统

• 🔐 重置密码

  • 当用户忘记密码或怀疑账号泄露时，可通过「重置密码」为其重新生成密码
  • 支持在重置后强制用户下次登录修改密码

• 🗑 删除用户

  • 对不再使用的账号可以执行“删除”操作
  • 建议在删除前先确认该用户对应的业务是否已经交接

• 🧭 授权分组

• 通过“授权分组”功能，控制用户能访问哪些环境分组
• 支持两种模式：
  • 全部分组：用户可以访问所有环境（全部权限）
  • 指定分组：用户只能访问被授权的指定分组
• 详细说明可参考《分组管理》

🔐 权限三层：菜单 / 功能 / 按钮

系统的权限控制大致分为三层，从“看得到”到“能不能点”：

• 📑 菜单 / 页面权限

  • 决定用户在左侧菜单中能看到哪些模块（如环境管理、费用中心、系统管理等）
  • 一般情况下，只需要配置菜单权限，就能满足大多数业务场景

• ⚙️ 功能权限

  • 细化到某个模块内部的具体操作能力，比如：
    • 是否可以新增 / 删除环境
    • 是否可以修改分组、授权用户
    • 是否可以访问某些敏感页面
  • 在「功能权限」页以树形结构展示，可针对角色进行精细勾选

• 🎛 按钮级权限

  • 进一步细化到页面上的某个按钮、某个功能入口
  • 例如“重置密码按钮”“删除按钮”等
  • 对应前端的按钮级权限控制（v-permission）

🚫 内置角色的限制说明

出于安全性考虑，系统内置的一些角色（如企业管理员、普通用户）在功能权限方面有特殊约束：

• 内置角色的核心功能权限是预先设计好的，无法直接在界面上调整，界面会有明显提示：
  • “内置角色无法更改功能权限”
• 如果需要差异化的功能权限：
  • 建议在内置角色基础上另建一个自定义角色
  • 然后在自定义角色上去微调菜单 / 功能 / 按钮级权限

这样既保证了内置角色的安全默认策略，又可以通过自定义角色满足个性化需求。

⭐ 普通用户的推荐做法（重点）

对于大多数“普通用户”，实际上无需配置非常细的功能/按钮级权限，通常：

• 只需要通过菜单权限控制其可见页面（路由权限）
  • 给他需要用到的模块菜单
  • 隐藏与他无关的模块
• 再结合“分组权限”控制他在环境管理里能看到哪些环境

这样配置既简单，又足够安全，维护成本也最低。

🧭 配置建议：怎么搭一套好用的权限体系

• 对少数超级账号（如企业管理员）

  • 使用内置角色，避免频繁调整功能权限
  • 配合全部分组权限使用

• 对大多数普通用户

  • 选择“普通用户”或自定义业务角色
  • 重点配置菜单权限 + 分组权限
  • 一般不需要再去调按钮级权限

• 当需要非常特殊的权限组合时

  • 新建自定义角色
  • 在「功能权限」中按需勾选菜单、功能、按钮
  • 再把相关用户“指定角色”为该自定义角色

通过“预设角色 + 分组权限 + 菜单权限”三者配合，可以在不增加配置负担的前提下，构建一套清晰易维护的成员权限体系。