跳到主要内容

基于角色的访问控制 (RBAC)

Open WebUI 实现了一个灵活且安全的**基于角色的访问控制 (RBAC)**系统。该系统允许管理员通过三个相互关联的层级,精确管理用户功能和资源访问:

  1. 角色 (Roles):高级用户类型(管理员 Admin、普通用户 User、挂起 Pending)。这定义了基线信任级别。
  2. 权限 (Permissions):细粒度的功能开关(例如“允许删除聊天”、“允许使用网页搜索”)。
  3. 用户组 (Groups):组织用户、授予额外权限以及管理共享资源访问(ACL)的机制。资源也可以直接共享给个人用户。
核心概念:累加式权限

安全模型是累加式的。用户从其默认权限开始,用户组成员资格会增加其功能。一个用户的实际权限是其角色和所属所有用户组所授予的权限的并集

RBAC 范围与提供商凭证的区别

RBAC 控制的是用户在 Open WebUI 内部可以执行的操作(功能、资源以及 UI/API 操作)。

RBAC 不能取代外部服务商的最小权限配置。如果您连接了 OpenAI 兼容的代理/提供商(例如 LiteLLM、OpenRouter 或自定义网关),请在您的部署中使用限定于推理 (Inference) 使用范围的提供商凭证。

除非您的部署明确需要该级别的信任,否则请避免为一般用户流量配置管理/Master 密钥。

文档指南

  • ‍🔑 角色 (Roles)

    • 理解管理员 (Admins) 与普通用户 (Users) 之间的区别。
    • 了解管理员限制以及安全/隐私配置。

  • 🔒 权限 (Permissions)

    • 探索可用权限开关的完整列表。
    • 理解针对聊天、工作区和功能特性的细粒度控制。
    • 安全提示:了解如何通过正确配置全局默认值来保护您的系统。

  • ‍🔐 用户组 (Groups)

    • 学习如何构建团队和项目。
    • 策略:区分“权限组”(用于分配功能权限)与“共享组”(用于共享资源访问)。
    • 为私有模型和知识库管理访问控制列表 (ACL) —— 分享给用户组或个人用户。
This content is for informational purposes only and does not constitute a warranty, guarantee, or contractual commitment. Open WebUI is provided "as is." See your license for applicable terms.