inCashinCash/ База знаний

Роли и права

У каждого пользователя в компании есть роль. Роль определяет, что человек может сделать, что увидеть и что изменить.

4 стандартных роли

| Роль | Просмотр | Создание / редактирование | Удаление | Команда | Биллинг | |---|---|---|---|---|---| | OWNER | Всё | Всё | Всё | Управление | Управление | | ADMIN | Всё | Всё | Всё | Просмотр | Ограничено | | EDITOR | Всё | Всё | Нет | Нет | Нет | | VIEWER | Всё | Нет | Нет | Нет | Нет |

OWNER — единственный на компанию. Создаётся при регистрации. Передать «владение» другому пока нельзя (на дорожной карте).

VIEWER — для бухгалтера на чтение, для демо-аккаунтов, для проверяющих. UI скрывает кнопки мутаций (Доход / Расход / Перевод) — клик не вернёт ошибку, кнопок просто нет.

Кастомные должности

Кроме стандартных — можно создавать свои в Команде → Добавить должность. У должности задаётся набор прав по группам (Операции, Счета, Отчёты, Аналитика, …).

Текущее ограничение: кастомные должности всё ещё работают как VIEWER под капотом — выбранные галочки сохраняются, отображаются в карточке, но RBAC middleware их пока не учитывает. Реальное применение прав — в работе. См. Кастомные должности.

Поэтому пока стоит использовать стандартные роли (EDITOR для тех, кто реально работает с данными; VIEWER для read-only) и не полагаться на гранулярные кастомные права.

Как меняется роль

В Команде → выбрать сотрудника → Роль. Менять роль самому себе и роль OWNER-у нельзя — поле заблокировано.

Где RBAC применяется

  • На уровне API — каждый POST/PATCH/DELETE проходит через requireRole(уровень). Недостаточная роль → 403.
  • В UI — кнопки мутаций скрываются для VIEWER (хедер, таблицы операций, инвойсы и т. д.).
  • Демо-режим — все 6 демо-аккаунтов имеют роль VIEWER. Поэтому incash.one/demo безопасен: данные посмотреть можно, испортить — нельзя.

Мультикомпания

Один пользователь может быть в нескольких компаниях с разными ролями. Например, OWNER в своей компании и VIEWER в компании партнёра. Роль определяется текущей активной компанией в sidebar — переключаете компанию, сессия обновляется, роль тоже.

См. Мультикомпания.

Смотрите также

Концепции