第 16 章:用户与权限管理¶
适用读者:运维、系统管理员
管理面板(/admin)¶
管理面板仅对具有 is_sudo 标志的用户可见。提供用户管理、系统配置和
审计日志功能。
用户管理(/admin/users)¶
创建用户¶
两种方式:
| 方式 | 适用场景 |
|---|---|
| 本地账户 | 用于通过邮箱和密码登录的用户。由管理员设置初始密码。 |
| OAuth 预创建 | 用于通过 Google OAuth 登录的用户。预先创建记录可在首次登录前分配权限。 |
字段:邮箱(必填)、显示名称、角色、认证方式、密码(仅本地账户)。
角色和权限¶
全局权限控制用户在系统范围内可以做什么:
- 标准用户:访问主要功能
- 受限用户:有限的侧边栏(无设置、管理、QPS 部分)
- 管理员(is_sudo):完全访问权限,包括管理面板
按席位权限控制用户可以查看哪些买方账户:
- 授予对特定 buyer_account_id 值的访问权限
- 每个席位的访问级别可以不同
- 没有席位权限的用户看不到任何数据
管理权限¶
- 前往
/admin/users - 选择一个用户
- 在"席位权限"下:授予或撤销对买方席位的访问
- 在"全局权限"下:授予或撤销系统级访问
- 更改在用户下次页面加载时生效
停用用户¶
停用用户会保留其记录(用于审计追踪),但阻止登录。不会删除其数据或 权限,可以重新激活。
服务账户(/settings/accounts)¶
服务账户代表 GCP 凭据,使 Cat-Scan 能够与 Google API 通信。
上传凭据¶
- 前往
/settings/accounts> API 连接标签页 - 上传 GCP 服务账户 JSON 密钥文件
- Cat-Scan 验证凭据并显示连接状态
安全提示: 仅在设置结束时添加服务账户 JSON 密钥,以最大限度降低 暴露风险。
服务账户解锁的功能¶
- 席位发现:查找与凭据关联的买方账户
- 预定向同步:从 Google 拉取当前配置状态
- RTB 端点同步:发现竞价器端点
- 素材收集:获取素材元数据
审计日志(/admin/audit-log)¶
每个重要操作都会被记录:
| 操作 | 触发条件 |
|---|---|
login |
认证成功 |
login_failed |
认证失败尝试 |
login_blocked |
登录被拒绝(用户已停用等) |
create_user |
创建新用户 |
update_user |
修改用户资料 |
deactivate_user |
停用用户 |
reset_password |
密码重置 |
change_password |
密码修改 |
grant_permission |
授予权限 |
revoke_permission |
撤销权限 |
update_setting |
修改系统设置 |
create_initial_admin |
初始设置时创建第一个管理员 |
过滤条件:按用户、操作类型、资源类型、时间窗口(天数),支持分页。
系统配置(/admin/configuration)¶
控制系统行为的全局键值设置。管理员可编辑。更改会记录在审计日志中。