後台管理系統：JWT 驗證與三級權限控管

## 🔐 為什麼需要嚴謹的驗證機制？

一個功能完整的後台管理系統，**安全性是最基礎也最重要的要求**。WuminWeb 後台採用業界標準的 JWT（JSON Web Token）驗證機制，搭配三級角色權限設計，確保每一位使用者只能操作其授權範圍內的功能。

> 🔐 安全核心設計： Access Token（短效）+ Refresh Token（長效）雙 Token 機制，兼顧安全性與使用便利性。

---

## 🗂️ JWT 身份驗證流程

### 🔄 登入流程

1. 管理者輸入帳號密碼，送出登入請求

2. 伺服器驗證憑證，回傳 Access Token（短效期）與 Refresh Token（長效期）

3. 前端將 Token 儲存，後續所有 API 請求均在 HTTP Header 附帶 Authorization: Bearer <token>

### ✨ Token 自動刷新

Access Token 有效期短（通常 15–60 分鐘），過期後系統自動使用 Refresh Token 無縫換發新 Token，使用者不需重新登入，大幅提升使用體驗。

### 登入記錄

每次登入均記錄時間與 IP 位址，系統管理者可於日誌頁面查閱所有登入歷史，有效追蹤異常存取。

---

## 👥 三級權限架構

WuminWeb 後台定義三種角色，適合工作室不同成員分工：

### 系統管理者（Admin）

擁有所有權限，包括：

- 帳號管理（新增、停用、權限指派）

- 系統設定修改

- 所有內容的新增、編輯、刪除與還原

- 日誌查閱

### 編輯者（Editor）

負責日常內容維護：

- 新增與編輯文章、作品、商品

- 上傳圖片與設定影片

- 管理行事曆活動

- 不可刪除帳號或修改系統設定

### 檢視者（Viewer）

唯讀角色，適合內容審核人員：

- 查閱所有內容列表與詳情

- 不可進行任何新增、編輯、刪除操作

---

## 帳號管理

| 操作 | 說明 |

| -------- | ------------------------------ |

| 新增帳號 | 設定帳號、密碼及角色 |

| 停用帳號 | 立即禁止登入，不刪除歷史資料 |

| 重設密碼 | 系統管理者可為任意帳號重設密碼 |

| 權限指派 | 隨時調整帳號角色 |

---

## 🔒 安全性設計亮點

- 密碼雜湊：使用 BCrypt 演算法儲存密碼，不可逆加密

- HTTPS 強制：所有 API 通訊均透過 TLS 加密

- CORS 設定：嚴格限制允許的來源域名

- 請求頻率限制：防止暴力破解登入嘗試

- Token 失效機制：登出後 Token 立即失效，防止 Token 被竊取後重用

> ⚠️ 安全提醒： 請定期更換管理員密碼，並啟用登入記錄功能以監控異常登入行為。

---

## 小結

安全的後台系統是整個網站運作的基石。WuminWeb 透過 JWT 雙 Token 機制、三級權限分工，以及多層安全防護，讓工作室成員可以放心地在各自的授權範圍內高效工作，同時保護核心資料不受未授權存取。