基于角色的访问控制（RBAC）

Open WebUI 实现了一个灵活且安全的**基于角色的访问控制（RBAC）**系统。该系统允许管理员通过三个相互关联的层次来精确管理用户能力和资源访问：

1. 角色：高级用户类型（管理员、用户、待审批）。这定义了基线信任级别。
2. 权限：细粒度功能标志（例如"可以删除对话"、"可以使用网络搜索"）。
3. 用户组：用于组织用户、授予额外权限以及管理对资源共享访问（ACL）的机制。资源也可以直接共享给单个用户。

核心概念：累加权限

安全模型是累加的。用户从其默认权限开始，用户组成员资格会增加能力。用户实际拥有的权限是其角色和用户组授予的所有权限的并集。

RBAC 与提供商凭证的范围边界

RBAC 控制用户在 Open WebUI 内部能做什么（功能、资源和 UI/API 操作）。

RBAC 不替代外部提供商的最小权限配置。如果您连接了 OpenAI 兼容的代理/提供商（例如 LiteLLM、OpenRouter 或自定义网关），请使用在您的部署中用于推理的最小所需范围的提供商凭证。

除非您的部署明确需要该级别的信任，否则请避免为一般用户流量配置管理/主密钥。

文档指南

• ‍🔑 角色

  • 了解管理员和用户之间的区别。
  • 了解管理员的限制及安全/隐私配置。

• 🔒 权限

  • 探索完整的可用权限开关列表。
  • 了解对话、工作区和功能的细粒度控制。
  • 安全提示：了解正确配置全局默认值如何保护您的系统。

• ‍🔐 用户组

  • 了解如何构建团队和项目。
  • 策略：区分"权限用户组"（用于权限）和"共享用户组"（用于访问）。
  • 管理私有模型和知识库的访问控制列表（ACL）——与用户组或单个用户共享。