7.2.1.1 用户与权限

文档摘要

7.2.1.1 用户与权限权限不是锁链，而是流动的溪流——一次RBAC模型在微服务集群中“越权写入”的根因深挖与精准修复凌晨两点十七分，告警钉钉弹窗震得我手机嗡嗡作响。这不是演习。这是生产环境里一根正在熔断的保险丝——而它熔断的位置，恰恰卡在「7.2.1.1 用户与权限」最基础、最常被轻视的那个接口上：角色权限批量赋值（）。我们团队曾自信地宣称：“RBAC已落地三年，权限收敛率99.7%，零越权事件。”直到那个 analyst 账号，在未触发任何审批流程、未修改任何配置、甚至没登录过 admin 控制台的情况下，悄然写入了财务核心表的第17行数据。这不是APT攻击，不是0day漏洞，不是社工钓鱼。