访问控制与授权

巴克励步

概述

应用设置 → 访问控制 中,可分别管理资源防盗链页面访问范围。若站点不对公众完全开放,可将整站设为 授权访问,并通过六种 访问授权 方式(登录、密码、用户、用户组、部门、员工)细化谁能进入;同时可配置 组织用户登录企业 SSO(OAuth 2.0) 作为前台登录入口。
本篇说明访问控制页各区块的操作,以及授权规则与登录方式的配置。域名绑定见 域名管理;后台成员与角色见 成员与权限管理

操作步骤

步骤一:进入访问控制

在应用后台 应用设置 中切换到 访问控制 页签。
07-03-访问控制概览.png
  1. 进入目标应用 后台管理应用设置
  2. 点击顶部 访问控制 页签。
  3. 页面上方通常为 资源防盗链,下方为 页面访问控制
预期结果:看到资源链接有效期设置与页面访问模式选项。

步骤二:配置资源防盗链

资源防盗链为图片、文件等资源链接设置有效期,降低被外部盗链的风险。
  1. 阅读「资源防盗链」说明:链接带有效期,过期后需重新获取。
  2. 选择链接有效期(默认 1 月;使用 CDN 全站加速时通常需选 永久,详见页面黄色提示)。
  3. 若发现链接被大量盗用,点击 重置资源链接,使已发出的旧链接全部失效(操作不可逆,请谨慎使用)。
预期结果:资源链接策略已保存;重置后旧外链无法继续访问资源。

步骤三:选择页面访问模式

页面访问控制 区域选择整站前台是否对公众开放。
07-01-页面访问控制.png
  1. 公开访问(默认):任何人可访问前台,无额外限制。
  2. 授权访问:仅通过授权规则的用户可访问;未授权访客将受到限制(如跳转登录或提示无权限)。
  3. 选择 授权访问 后,下方 授权规则 页签用于管理具体规则;若尚无规则,会显示「暂无授权信息」空状态。
预期结果:访问模式切换成功;授权访问下需继续添加授权规则(下一步)。

步骤四:新增访问授权(六种方式)

授权规则 区域,点击 新增访问授权 下拉按钮,选择一种授权方式并填写条件。
07-02-新增访问授权.png
方式 说明 典型场景
登录授权 任意用户登录后即可访问 内部知识库、需登记身份的公开社区
密码授权 输入指定密码即可访问 活动页、临时分享、简单门禁
用户授权 授权单个用户,登录后访问 指定客户、外部顾问
用户组授权 授权用户组,组内用户登录后访问 按项目/批次批量授权
组织部门授权 授权部门及下级部门员工 按组织架构开放
组织员工授权 授权单个组织员工 精确到人的内部站点
操作要点:
  1. 点击 新增访问授权,从下拉菜单选择上述方式之一。
  2. 按向导选择用户、用户组、部门或设置密码等(因方式而异)。
  3. 保存后,规则出现在 授权规则 列表中,可编辑或删除。
  4. 列表旁 设置 按钮可进入登录方式配置(见步骤五)。
预期结果:至少一条授权规则生效;符合条件用户可访问前台,其他人被拦截。

步骤五:配置登录方式(组织登录与 SSO)

点击授权规则区域的 设置,右侧滑出 配置 侧栏,管理前台用户如何完成登录。
07-01-页面访问控制.png
通过组织用户登录授权
  1. 开启后,访客通过 Baklib 组织登录页完成身份验证。
  2. 未开启,前台登录页将不显示对应登录按钮。
  3. 适用于已在使用 Baklib 组织账号的场景。
通过企业自有 SSO 登录授权
  1. 适用于企业已部署 SSO 服务器的情况;当前仅支持 OAuth 2.0
  2. 开启后填写:
    • SSO 重定向地址:平台提供的回调 URL(示例:https://site-xxxx.trial.baklib.site/-/oauth/sso/callback),需在 IdP 应用中登记。
    • 应用 ID应用密钥:从企业 SSO / IdP 应用配置中获取。
    • 应用范围:默认 read_user,按 IdP 要求填写。
  3. 保存后在 IdP 侧完成回调白名单与权限范围配置,并进行一次登录联调。
提示授权访问限制的是前台访客;能进入应用后台的账号属于成员,需在 成员与权限管理 中单独配置。两者可配合使用:成员运营后台,授权用户仅浏览前台。
预期结果:组织登录或 SSO 至少一种方式可用;授权用户可通过对应入口登录并访问站点。

常见问题

Q:「授权访问」与「成员」有何区别?
A:授权访问前台谁可以看页面;成员管谁可以进应用后台协作。前台用户需在授权规则中配置,详见 成员与权限管理
Q:可以同时使用多种授权方式吗?
A:可以添加多条授权规则(如同时有密码门禁与部门授权);具体合并逻辑以平台当前策略为准,建议用测试账号验证。
Q:密码授权与登录授权怎么选?
A:密码授权无需账号,适合临时分享;登录授权需组织账号,适合长期内部站点。
Q:企业 SSO 配置失败怎么排查?
A:核对回调 URL 是否与 SSO 重定向地址 完全一致、App ID/Secret 是否正确、IdP 是否允许 read_user 等 scope;详见帮助中心 常见问题 · 域名与访问 中 SSO 相关条目。
Q:防盗链有效期选多久?
A:一般保持默认「1 月」即可。若全站接 CDN,请按页面提示选择「永久」,否则可能出现图片无法加载。
Q:重置资源链接会影响什么?
A:已复制到邮件、文档或外站的图片/文件链接将失效,需重新获取或更新引用;建议在低峰期操作。

相关阅读