用户管理

概述

Website Defender 提供完整的用户管理功能，支持通过管理后台或 API 进行用户的增删改查操作。

用户增删改查

通过管理后台，您可以：

• 创建用户：添加新的管理员用户
• 编辑用户：修改用户信息、密码和权限
• 删除用户：移除不再需要的用户
• 查看用户列表：浏览所有已注册的用户

账户启用/禁用

用户账户可以通过管理后台的开关进行启用或禁用：

• 已禁用的账户将被阻止所有认证方式（登录、Guard、2FA、令牌、Git Token）
• 已禁用账户返回 403 Forbidden 并提示 "Account is disabled"
• 管理员账户无法被禁用（防止自锁）
• 可在用户列表中直接切换账户状态，无需打开编辑对话框

角色控制

每个用户拥有一个管理员权限标识：

• 管理员：拥有完整的管理后台访问权限，可管理用户、IP 名单、WAF 规则等所有功能。管理员始终跳过授权域检查。
• 普通用户：仅拥有认证通过后的访问权限，受授权域限制。

默认用户

首次启动时，系统会自动创建默认管理员用户（默认用户名和密码均为 defender）。请在首次登录后立即修改密码。

Git Token 生成

为每个用户生成用于机器访问的 Git Token：

• 在用户管理页面一键生成 Git Token
• Token 格式为 username:token
• 支持一键复制到剪贴板
• 通过 Defender-Git-Token 请求头使用（请求头名称可配置）
• Git Token 支持授权域检查

使用场景

Git Token 适合用于 CI/CD 管道、自动化脚本、Git 客户端等需要非交互式认证的场景。

授权域

为每个用户配置可访问的受保护域名：

• 从授权域管理注册表中通过多选下拉选择器选取域名
• 也可以手动输入自定义模式（如 *.internal.org）
• 授权域为空表示不限制访问
• 管理员用户始终跳过授权域检查

详细的授权域匹配规则请参阅授权域管理。

双因素认证 (2FA)

管理员可以通过管理后台为任何用户管理基于 TOTP 的双因素认证。已启用 2FA 的用户在用户列表中会显示 2FA 标记。

• 设置：点击用户旁边的 2FA 按钮，使用认证器应用扫描二维码，输入验证码完成确认
• 重置：点击 重置 2FA 按钮禁用该用户的 2FA。如需再次启用，用户需要重新设置

关于 2FA 如何影响登录流程的详细说明，请参阅认证与访问控制。

许可证管理

许可证令牌为 API 和机器访问提供简化的认证方式。

生成许可证

1. 登录管理后台
2. 进入许可证管理页面
3. 点击生成新的许可证令牌

安全存储

一次性显示

许可证令牌仅在生成时显示一次，请务必在生成后立即复制并妥善保存。系统仅存储令牌的 SHA-256 哈希值，无法恢复原始令牌。

管理操作

• 激活/吊销：通过管理后台切换许可证的激活状态
• 删除：永久删除不再需要的许可证
• 已吊销的许可证将无法通过认证

API 管理

用户管理也可以通过 REST API 完成：

方法	路径	说明
POST	/users	创建用户
GET	/users	查询用户列表
PUT	/users/:id	更新用户信息
DELETE	/users/:id	删除用户
POST	/licenses	创建许可证
GET	/licenses	查询许可证列表
DELETE	/licenses/:id	删除许可证

详见 API 参考。

---

相关页面

• 授权域管理 - 集中管理受保护域名
• 认证与访问控制 - 各种认证方式详解
• 授权域管理 - 多租户访问控制
• API 参考 - 完整的 API 接口文档