发布时间：2025-01-19 17:16:08   来源：老牌国际利来

  最近看了下fa，对fa Auth 操控深表敬佩，有个问题想问下，咱们公司已有个sso单点登陆体系，每个人登录公司的邮件的时分都主动有SSO token，咱们简略点，能够当作cookie，里边有id，dept，name，ip。。。信息，这样的话，假设职工拜访fa体系做后台办理的时分能不能不必跟fa的table里边的用户主数据，直接来用这个cookie里边的id，发现这个cookie 存在，那就当即进入后台办理。我能够改auth-check 直接回来true，但权限怎样办呢，不同的sso id 要看到后台不同的权限，请问有什么好的办法和主张吗！

  @manbuheiniu你用点误解我的意思了！任何 企业sso 供给的token，必定是加密的，当然必定也供给了解密的办法。我这儿议论的不是token 权限的安全问题，我谈的是第三方认证体系认证后 它的token怎样和 FA 后台体系对接，经过FA 的auth 认证，供给对应的后台界面。

  这儿用别的一种办法阐明一下我的利诱啊：假设我拜访百度网站，然后我登录了百度帐户，这时分百度网页必定会供给一个token，也供给了一个接口供任何体系 调用，对吧。FA 是否能做到 不必检测自己内部的 用户数据库，首要判别是否百度账号现已login了，假设login，然后经过百度供给的解码接口，得到用户名，直接登录FA 后台。

  *以上这些我想我自己我能够简略修正一下 FA 的auth-check办法 能做到让任何百度账户登录都有FA admin 权限，什么都能拜访。由于我能够直接设置AUTH类里边的check办法回来为TRUE。我想知道的是在FA 用户数据库中没有我这个百度账号的id，登陆后怎样能正常的运用 fa 的权限功用。比方：百度账号1 登录后能看到一切FA的后台模块，百度账户2登录后只能看到里边的 “开发案例办理”模块。

  **咱们现在看到 FA 供给的微信还有什么其他第三方接口都是针对会员数据库的，不是针对后台用户数据库的，这个我不能直接拿来用。我想问的是有没有相似针对fa 后台的用户登录第三方接口。

  K神的回复是供给办理员列表接口，提早分配办理员的权限 ，这个是提到了点子上，所以我想问究竟怎样能这么做，有没有相关比如。

  @xt999可彻底的哈，需求不同权限的话就必须让你们的单点体系供给办理员列表接口，提早分配办理员的权限才能够。

  谢谢K神的答复！供给办理员列表接口，提早分配办理员的权限 这个请问能讲讲详细怎样做，或许有比如介绍吗？

  只靠简略的token不能做权限操控吧！token简单模仿，欠好判别真假。假设token是加密的而且可解密就能够直接默许主动登录，可是权限最好仍是经过oss查询当时用户有哪些权限。

  最好让oss体系供给个接口能查询token的有效性与当时token分配的权限，然后再判别当时用户答应哪些操作