访问控制与授权
巴克励步
概述
在 应用设置 → 访问控制 中,可分别管理资源防盗链与页面访问范围。若站点不对公众完全开放,可将整站设为 授权访问,并通过六种 访问授权 方式(登录、密码、用户、用户组、部门、员工)细化谁能进入;同时可配置 组织用户登录 或 企业 SSO(OAuth 2.0) 作为前台登录入口。
操作步骤
步骤一:进入访问控制
在应用后台 应用设置 中切换到 访问控制 页签。

- 进入目标应用 后台管理 → 应用设置。
- 点击顶部 访问控制 页签。
- 页面上方通常为 资源防盗链,下方为 页面访问控制。
预期结果:看到资源链接有效期设置与页面访问模式选项。
步骤二:配置资源防盗链
资源防盗链为图片、文件等资源链接设置有效期,降低被外部盗链的风险。
- 阅读「资源防盗链」说明:链接带有效期,过期后需重新获取。
- 选择链接有效期(默认 1 月;使用 CDN 全站加速时通常需选 永久,详见页面黄色提示)。
- 若发现链接被大量盗用,点击 重置资源链接,使已发出的旧链接全部失效(操作不可逆,请谨慎使用)。
预期结果:资源链接策略已保存;重置后旧外链无法继续访问资源。
步骤三:选择页面访问模式
在 页面访问控制 区域选择整站前台是否对公众开放。

- 公开访问(默认):任何人可访问前台,无额外限制。
- 授权访问:仅通过授权规则的用户可访问;未授权访客将受到限制(如跳转登录或提示无权限)。
- 选择 授权访问 后,下方 授权规则 页签用于管理具体规则;若尚无规则,会显示「暂无授权信息」空状态。
预期结果:访问模式切换成功;授权访问下需继续添加授权规则(下一步)。
步骤四:新增访问授权(六种方式)
在 授权规则 区域,点击 新增访问授权 下拉按钮,选择一种授权方式并填写条件。

| 方式 | 说明 | 典型场景 |
|---|---|---|
| 登录授权 | 任意用户登录后即可访问 | 内部知识库、需登记身份的公开社区 |
| 密码授权 | 输入指定密码即可访问 | 活动页、临时分享、简单门禁 |
| 用户授权 | 授权单个用户,登录后访问 | 指定客户、外部顾问 |
| 用户组授权 | 授权用户组,组内用户登录后访问 | 按项目/批次批量授权 |
| 组织部门授权 | 授权部门及下级部门员工 | 按组织架构开放 |
| 组织员工授权 | 授权单个组织员工 | 精确到人的内部站点 |
操作要点:
- 点击 新增访问授权,从下拉菜单选择上述方式之一。
- 按向导选择用户、用户组、部门或设置密码等(因方式而异)。
- 保存后,规则出现在 授权规则 列表中,可编辑或删除。
- 列表旁 设置 按钮可进入登录方式配置(见步骤五)。
预期结果:至少一条授权规则生效;符合条件用户可访问前台,其他人被拦截。
步骤五:配置登录方式(组织登录与 SSO)
点击授权规则区域的 设置,右侧滑出 配置 侧栏,管理前台用户如何完成登录。

通过组织用户登录授权
- 开启后,访客通过 Baklib 组织登录页完成身份验证。
- 若未开启,前台登录页将不显示对应登录按钮。
- 适用于已在使用 Baklib 组织账号的场景。
通过企业自有 SSO 登录授权
- 适用于企业已部署 SSO 服务器的情况;当前仅支持 OAuth 2.0。
- 开启后填写:
- SSO 重定向地址:平台提供的回调 URL(示例:
https://site-xxxx.trial.baklib.site/-/oauth/sso/callback),需在 IdP 应用中登记。 - 应用 ID、应用密钥:从企业 SSO / IdP 应用配置中获取。
- 应用范围:默认
read_user,按 IdP 要求填写。
- SSO 重定向地址:平台提供的回调 URL(示例:
- 保存后在 IdP 侧完成回调白名单与权限范围配置,并进行一次登录联调。
提示:授权访问限制的是前台访客;能进入应用后台的账号属于成员,需在 成员与权限管理 中单独配置。两者可配合使用:成员运营后台,授权用户仅浏览前台。
预期结果:组织登录或 SSO 至少一种方式可用;授权用户可通过对应入口登录并访问站点。
常见问题
Q:「授权访问」与「成员」有何区别?
A:授权访问管前台谁可以看页面;成员管谁可以进应用后台协作。前台用户需在授权规则中配置,详见 成员与权限管理。
A:授权访问管前台谁可以看页面;成员管谁可以进应用后台协作。前台用户需在授权规则中配置,详见 成员与权限管理。
Q:可以同时使用多种授权方式吗?
A:可以添加多条授权规则(如同时有密码门禁与部门授权);具体合并逻辑以平台当前策略为准,建议用测试账号验证。
A:可以添加多条授权规则(如同时有密码门禁与部门授权);具体合并逻辑以平台当前策略为准,建议用测试账号验证。
Q:密码授权与登录授权怎么选?
A:密码授权无需账号,适合临时分享;登录授权需组织账号,适合长期内部站点。
A:密码授权无需账号,适合临时分享;登录授权需组织账号,适合长期内部站点。
Q:企业 SSO 配置失败怎么排查?
A:核对回调 URL 是否与 SSO 重定向地址 完全一致、App ID/Secret 是否正确、IdP 是否允许
A:核对回调 URL 是否与 SSO 重定向地址 完全一致、App ID/Secret 是否正确、IdP 是否允许
read_user 等 scope;详见帮助中心 常见问题 · 域名与访问 中 SSO 相关条目。Q:防盗链有效期选多久?
A:一般保持默认「1 月」即可。若全站接 CDN,请按页面提示选择「永久」,否则可能出现图片无法加载。
A:一般保持默认「1 月」即可。若全站接 CDN,请按页面提示选择「永久」,否则可能出现图片无法加载。
Q:重置资源链接会影响什么?
A:已复制到邮件、文档或外站的图片/文件链接将失效,需重新获取或更新引用;建议在低峰期操作。
A:已复制到邮件、文档或外站的图片/文件链接将失效,需重新获取或更新引用;建议在低峰期操作。