权限架构¶ Mica 的权限控制分为三层: 角色级:决定可见菜单和可执行动作 字段级:决定同一条记录中哪些字段可见 行级:决定用户能看到哪些业务记录 Cerbos 策略¶ 字段级策略由 Cerbos sidecar 评估,策略文件位于: deploy/cerbos-policies/ 修改策略后,Cerbos 会自动热加载,无需重启整个系统。 管理建议¶ 角色设计尽量稳定,避免按人定制 字段权限变更前先评估财务、审批和供应商信息的影响 在生产环境修改权限规则后,应做回归验证