团队与角色
Glint 使用 Prism 团队进行访问控制。每个待办分组都属于一个团队,你的角色决定了你在该团队中的默认权限。团队本身在 Prism 中管理——Glint 在登录时读取成员关系和角色信息。
角色
共有四种角色,按权限等级从高到低排列:
| 角色 | 说明 |
|---|---|
| 所有者 | 拥有对所有内容的完全访问权限,包括设置和权限管理。不可被限制。 |
| 联合所有者 | 与所有者权限几乎相同,可管理设置和权限。 |
| 管理员 | 默认拥有广泛的访问权限,但可由所有者自定义。 |
| 成员 | 默认仅限于自己的内容,但可通过权限配置扩展访问范围。 |
所有者和联合所有者的权限始终完整,不受权限规则影响。
默认权限
| 权限 | 管理员 | 成员 |
|---|---|---|
| 管理设置 | 否 | 否 |
| 管理权限 | 否 | 否 |
| 管理分组 | 是 | 否 |
| 创建待办事项 | 是 | 是 |
| 编辑本人待办 | 是 | 是 |
| 编辑任意待办 | 是 | 否 |
| 删除本人待办 | 是 | 是 |
| 删除任意待办 | 是 | 否 |
| 完成他人待办 | 是 | 否 |
| 添加子待办 | 是 | 是 |
| 排序待办事项 | 是 | 否 |
| 评论 | 是 | 是 |
| 删除本人评论 | 是 | 是 |
| 删除任意评论 | 是 | 否 |
| 查看待办事项 | 是 | 是 |
所有默认值均可在全局或按分组级别覆盖。详见权限。
切换团队(工作区)
如果你同时属于多个团队,可使用侧边栏顶部的工作区切换器在团队之间切换。个人空间(仅属于你本人的空间)也在此列表中显示。
URL 会随工作区切换而更新(格式为 /<teamId> 或 /personal:<userId>),因此可以直接收藏书签。
个人空间
除团队外,每位用户还拥有一个个人空间,仅对自己可见。个人空间的权限不受团队权限规则影响——你对自己的内容始终拥有完整权限。
团队管理
团队在 Prism 实例中管理(创建、邀请成员、更改角色等)。Glint 在用户登录时通过 teams:read scope 读取成员关系信息。
团队成员变更在下次登录后生效。 若需立即应用变更,用户可退出登录后重新登录。
允许的团队 ID
如果在应用配置中设置了 allowed_team_id,则只有该特定 Prism 团队(或多个团队)的成员才能登录 Glint。其他用户将看到"未授权"页面。
⚠️ 重要区别: allowed_team_id 是一个身份验证控制——它限制谁能登录。登录后,用户可以访问他们属于的所有团队。这不是可见性或权限边界。
可配置多个团队 ID,用逗号、分号或空格分隔:
team_a, team_b通过环境变量 ALLOWED_TEAM_ID 设置时,该值会覆盖 KV 中的配置,且无法在 UI 中修改。