-
Notifications
You must be signed in to change notification settings - Fork 0
Rollen und Berechtigungen
Das Basetool kennt sechs Rollen plus zwei kontextuelle Zusatz-Flags. Jeder Zugriff wird auf zwei Ebenen geprüft: erst die URL-Ebene (anonym / angemeldet / Rolle), dann die Methoden-Ebene (@PreAuthorize, oft zusätzlich gescopt auf deine Org-Einheit). Beide können nur verschärfen, nie aufweichen.
| Rolle (deutsch) | Technisch (Keycloak) | Wer | Typische Aufgaben |
|---|---|---|---|
| Admin | ADMIN |
IT | Alles. Pflegt Stammdaten, Mitglieder, Systemeinstellungen, Spezialkommandos. |
| Offizier | OFFICER |
Führungsebene | Staffelinterne Verwaltung: Einsätze leiten, Operationen/Auszahlungen, Hangar-Reset; Beförderungssystem der eigenen Staffel. |
| Logistiker | LOGISTICIAN |
Logistik-Crew | Lager, Raffinerie, Warenaufträge. Per Hierarchie automatisch für Admin/Offizier. |
| Einsatz-Manager | MISSION_MANAGER |
Einsatz-Planung | Einsätze und Operationen verwalten, Auszahlungen freigeben. Per Hierarchie automatisch für Admin/Offizier. |
| Staffel-Mitglied | SQUADRON_MEMBER |
Aktives Mitglied | Einsätze anlegen/beitreten, Hangar pflegen, Lager ansehen, Warenaufträge erstellen. |
| Gast | GUEST |
Default-Rolle | Angemeldet, aber ohne Rechte — sieht z. B. das eigene (leere) Inventar und die Auftrags-Liste, scheitert aber an jedem Rollen-Check. |
Anonym ≠ Rolle „Gast". Anonym heißt gar nicht eingeloggt (kein Account) und erreicht nur die öffentliche Fläche (siehe Erste Schritte). Die Rolle Gast ist ein angemeldeter Keycloak-User ganz ohne zugewiesene Rolle — bei Einsätzen wird er wie ein anonymer Besucher behandelt (redigierte öffentliche Sicht, kein Zugriff auf das Finanz-Ledger).
ADMIN > LOGISTICIAN
OFFICER > LOGISTICIAN
ADMIN > MISSION_MANAGER
OFFICER > MISSION_MANAGER
Heißt: Admins/Offiziere erben alle Logistiker- und Einsatz-Manager-Rechte automatisch. Du musst diese Rollen nicht explizit zuweisen.
Logistiker und Einsatz-Manager sind keine Keycloak-Rollen, sondern Flags pro Mitgliedschaft (auf der Zeile, die dich mit einer Staffel oder einem SK verknüpft). Daraus folgt:
- Trägt irgendeine deiner Mitgliedschaften ein Flag, gelten die zugehörigen Rechte grundsätzlich (du passierst alle
Logistiker-Gates). - Bei schreibenden Aktionen wird zusätzlich geprüft, ob das Flag für genau die Org-Einheit gilt, deren Daten du änderst. So bleibt ein Logistiker auf seine Org-Einheit(en) beschränkt.
- Die Flags vergibt ein Admin über die Mitgliederverwaltung bzw. die SK-Mitgliederverwaltung; für ein SK kann das auch der SK-Lead.
Ein Mitglied mit Lead-Flag auf einem Spezialkommando ist in diesem SK automatisch sowohl Logistiker als auch Einsatz-Manager — analog dazu, dass ein Offizier beide Rollen in seiner eigenen Staffel innehat. Der Lead darf außerdem die Mitglieder seines SK verwalten. Das Lead-Flag selbst kann nur ein Admin setzen (kein Selbst-Eskalieren). Details: Spezialkommandos.
| Funktion | Anonym | Mitglied | Logistiker | Einsatz-Mgr | Offizier | Admin |
|---|---|---|---|---|---|---|
| Öffentliche Einsätze ansehen (redigiert) / als Gast beitreten | x | x | x | x | x | x |
| Einsatz-Finanzen (Ledger) lesen & Einträge anlegen | x | x | x | x | x | |
| Eigenen Einsatz anlegen & verwalten | x | x | x | x | x | |
| Fremde Einsätze verwalten (eigene Org-Einheit) | x | x | x | |||
| Einsatz löschen | x | |||||
| Operationen ansehen | x⁴ | x⁴ | x⁴ | x⁴ | x | |
| Operation anlegen/bearbeiten, Auszahlung als bezahlt markieren | x | x | x | |||
| Auszahlung „bezahlt" wieder zurücknehmen | x | x | ||||
| Warenauftrag anlegen | x | x | x | x | x | x |
| Auftrags-Liste/-Detail ansehen | x | x | x | x | x | |
| Sich selbst als Bearbeiter eintragen / eigene Notiz pflegen | x | x | x | x | x | |
| Blaupausen-Abdeckung eines Item-Auftrags ansehen | x⁵ | x⁵ | x⁵ | x⁵ | x | |
| Warenauftrag bearbeiten (Status, Material, Übergabe, fremde Bearbeiter) | x | x | x | |||
| Material-Eintragung auf SK-Auftrag | x | x | x | |||
| Warenauftrag löschen | x | |||||
| Raffinerieauftrag ansehen | x | x | x | x | x | |
| Eigene Raffinerieaufträge anlegen (inkl. Screenshot-Import)/abschließen | x | x | x | x | x | |
| Raffinerieaufträge der Org-Einheit verwalten | x | x | x | |||
| Hangar / Lager ansehen | x | x | x | x | x | |
| Lager bearbeiten / ein- & ausbuchen | x* | x | x* | x | x | |
| Schiffe anderer Mitglieder verwalten | x | |||||
| Persönl. Inventar & Baupläne (eigene) | x | x | x | x | x | |
| Blueprint-Verfügbarkeit der Org-Einheit ansehen | x | x | ||||
| Mitglieder pflegen | x | |||||
| Stammdaten (Materialien, Orte, UEX, Schiffe, Baupläne) | x | |||||
| Beförderungssystem ansehen (eigene Staffel) | x | x | x | x | x | |
| Beförderungssystem pflegen (eigene Staffel) | x** | x | ||||
| Spezialkommandos anlegen/löschen | x | |||||
| SK-Mitglieder verwalten (inkl. Mitgliederliste ansehen) | x*** | |||||
| Organigramm ansehen | x | x | x | x | x | |
| Organigramm bearbeiten | x | |||||
| Aktiven Bereich umschalten | x | x | x | x | x |
* Nur die eigenen bzw. die der eigenen Org-Einheit zugeordneten Einträge (Owner-Scope). Wer keiner Org-Einheit angehört, legt rein persönliche Einträge an, die nur er selbst sieht (und Admins).
** Offiziere pflegen das Beförderungssystem ihrer eigenen Staffel (Themenbereiche / Bewertungen / Rangvoraussetzungen). Das Feature pro Staffel an-/abzuschalten bleibt Admin.
*** SK-Mitgliederverwaltung (auch das reine Ansehen der Mitgliederliste) ist Admin oder der Lead dieses SK — nicht an die globale Offiziers-Rolle gebunden.
⁴ Operationen sind staffel-gescopt mit zwei Erweiterungen: Bereichsleitungs-Operationen (ohne Org-Einheit) sehen alle Mitglieder (und höher), und Teilnehmer der verknüpften Einsätze sehen die Operation samt eigener Auszahlung auch staffelfremd. Gäste/Anonyme sehen Operationen nie.
⁵ Strenger als die normale Auftrags-Sichtbarkeit: Die Abdeckungssicht nennt Mitglieder namentlich samt ihrer Blaupausen und ist deshalb auf Mitglieder der bearbeitenden Org-Einheit beschränkt — wer einen SK-Auftrag nur über die öffentliche Warteschlange sieht, sieht sie nicht.
Alle Lese-Aktionen im Beförderungssystem sind staffel-gescopt: Mitglieder und Offiziere sehen nur die Daten ihrer eigenen Staffel, Admins die der aktiv angepinnten Staffel (ohne Pin erscheint ein „Staffel wählen"-Hinweis statt einer Vermischung aller Staffeln). Wer keiner Staffel angehört und kein Admin ist, sieht gar kein Beförderungssystem — der Menüpunkt fehlt und ein direkter Aufruf wird blockiert.
Die Blueprint-Verfügbarkeit (/blueprint-overview) sehen Offiziere (eigene Staffel), Admins (alle bzw. angepinnt) und SK-Leads (ihr SK) — der Menüpunkt ist für alle anderen ausgeblendet.
Wer sich neu via Keycloak anmeldet und noch keine Rolle hat, bekommt automatisch Gast (keine Rechte). Ein Admin vergibt die richtige Rolle, damit du loslegen kannst.
Offiziere haben Ränge 1–12, Staffel-Mitglieder haben Ränge 13–20. Der Rang ist eine Anzeige-Ordnung und beeinflusst die Sortierung in Listen sowie die Anforderungen im Beförderungssystem.
Die ausführliche, in der Codebase verifizierte Matrix mit allen Endpunkten liegt im Repo unter ROLES_AND_PERMISSIONS.md. Bei Abweichungen zählt immer der Code.
Profit Basetool · Repo · Changelog · Issues
Einstieg
Operatives
Material & Bestand
Mehr