1Panel多用户权限如何隔离？

一、1Panel多用户权限隔离机制概述

在企业级容器与应用管理平台中，权限隔离是确保系统安全的核心要素。1Panel作为现代化的运维管理面板，支持多租户共用同一实例场景下的精细化权限控制。其核心机制依赖于角色定义（Role）、资源分组（Resource Group）以及访问控制策略（ACL）三者协同工作。

当开启多用户模式后，系统默认创建超级管理员账户，并可基于该账户派生出多个子用户。每个子用户通过绑定特定角色来获取操作权限，而这些权限始终作用于被明确授权的资源范围内。

二、角色与权限模型解析

1Panel内置了多种预设角色，主要包括：

• 超级管理员（Super Admin）：拥有全系统资源的读写与配置权限。
• 普通管理员（Admin）：可在指定资源组内进行完整管理操作。
• 只读用户（Viewer）：仅能查看资源状态，无法执行变更操作。
• 自定义角色（Custom Role）：支持按需配置具体API接口级别的权限粒度。

角色类型	主机访问	容器管理	网站配置	数据库操作	日志查看
超级管理员	全部	全部	全部	全部	全部
普通管理员	授权主机	所属项目内	所属项目内	所属项目内	是
只读用户	可见但不可控	仅列表	仅详情页	仅连接信息	可查

三、资源分组与项目维度权限划分

为实现更细粒度的隔离，1Panel引入“项目（Project）”概念作为逻辑资源容器。每个项目可包含若干主机、容器、网站和数据库实例。用户必须被显式添加至某个项目并分配角色，方可访问其中资源。

例如，可通过以下步骤创建隔离环境：

1. 创建项目“A-电商平台”和“B-内部系统”；
2. 将两台主机分别划入对应项目；
3. 为用户Alice分配“A-电商平台”的管理员权限；
4. 为用户Bob分配“B-内部系统”的普通管理员权限；
5. 验证Alice无法看到Bob所管理的主机与服务。

此机制实现了基于项目的横向隔离，避免跨业务线越权访问。

四、主机维度权限控制与数据可见性保障

在底层架构上，1Panel采用资源归属绑定 + 中心化鉴权引擎的方式处理请求。所有用户发起的操作均需经过RBAC（基于角色的访问控制）校验，系统会检查当前用户是否具备目标资源的操作权限。

以查询容器列表为例，其流程如下：

func GetContainerList(userID, projectID) {
    roles := GetUserRoles(userID)
    if !HasPermission(roles, "container:list", projectID) {
        return Forbidden()
    }
    return DB.Query("containers").Where("project_id = ?", projectID)
}

该逻辑确保即使两个用户共用同一物理主机，只要不属于同一项目或未被授权，便无法感知对方的存在。

五、权限隔离的可视化流程图

graph TD A[用户登录] --> B{身份认证} B -->|成功| C[加载用户角色] C --> D[获取可访问项目列表] D --> E[展示资源界面] E --> F[仅显示授权项目内的主机/容器/网站/数据库] G[用户发起操作] --> H{权限校验} H -->|通过| I[执行命令] H -->|拒绝| J[返回403错误]

六、企业级部署中的安全性验证

在真实生产环境中，我们曾对某金融客户实施多租户部署方案。该客户要求三个独立部门共享一套1Panel实例，但彼此间完全隔离。最终通过以下配置达成目标：

• 每个部门设立独立项目，命名规则为 dept-finance、dept-risk、dept-tech；
• 各部门负责人创建为项目管理员，下属成员设为普通用户或只读用户；
• 数据库实例按项目打标，如 mysql-finance-prod；
• 定期审计日志确认无跨项目访问行为；
• 启用双因素认证增强账户安全。

经第三方渗透测试验证，未发现任何越权漏洞，证明1Panel具备支撑高安全等级场景的能力。