Ролі й права доступу в Strapi
Strapi використовує два механізми доступу: Users & Permissions (для публічних користувачів API) та Role-Based Access Control (для адміністраторів в admin panel). Налаштування через GUI в Settings → Roles або програмно.
Users & Permissions (публічний API)
Плагін users-permissions управляє токенами й ролями публічних користувачів:
Вбудовані ролі:
-
Public— неаутентифіковані запити -
Authenticated— авторизовані через JWT
# Отримати JWT токен
POST /api/auth/local
{ "identifier": "[email protected]", "password": "password" }
# Відповідь: { "jwt": "...", "user": {...} }
# Запит з токеном
GET /api/articles
Authorization: Bearer <jwt-token>
Налаштування прав через API:
// Програмна настройка прав при bootstrap
async bootstrap({ strapi }) {
const publicRole = await strapi.query('plugin::users-permissions.role')
.findOne({ where: { type: 'public' } })
// Дозволити публічне читання статей
await strapi.query('plugin::users-permissions.permission').updateMany({
where: { role: publicRole.id, action: 'api::article.article.find' },
data: { enabled: true },
})
}
Кастомна роль
// Створити роль через Admin: Settings → Roles → Add new role
// Або програмно:
const role = await strapi.query('plugin::users-permissions.role').create({
data: {
name: 'Premium User',
description: 'Користувач з доступом до premium контенту',
type: 'premium',
},
})
Admin Panel RBAC
Для адміністраторів — окрема система ролей:
Вбудовані admin ролі:
-
Super Admin— повний доступ -
Editor— управління контентом -
Author— тільки свої записи
// Програмне створення admin ролі
const editorRole = await strapi.query('admin::role').create({
data: {
name: 'Content Manager',
description: 'Управління тільки статтями та категоріями',
},
})
// Назначити права
await strapi.admin.services.permission.assignPermissions(editorRole.id, [
{ action: 'plugin::content-manager.explorer.read', subject: 'api::article.article' },
{ action: 'plugin::content-manager.explorer.create', subject: 'api::article.article' },
{ action: 'plugin::content-manager.explorer.update', subject: 'api::article.article' },
])
Field-level permissions
// Обмежити доступ до конкретних полів
await strapi.admin.services.permission.assignPermissions(roleId, [
{
action: 'plugin::content-manager.explorer.read',
subject: 'api::article.article',
properties: {
fields: ['title', 'content', 'publishedAt'], // тільки ці поля
},
},
])
API Tokens (для серверних запитів)
# Admin → Settings → API Tokens → Create new API Token
# Type: Read-only / Full access / Custom
// Використання
GET /api/articles
Authorization: Bearer <api-token>
Часові рамки
Налаштування ролей для редакційної команди (3–4 ролі з різними рівнями доступу) — 0,5–1 день.