小程序权限管理只能写死代码？试试CloudBase的“表达式”驱动

🔥 营销热点转瞬即逝，如何快速配置数据库权限，不拖慢活动上线节奏？

🔥 临时要给 VIP 用户开放某字段查看权限，不想改代码怎么办？

🔥 活动逻辑大同小异，如何避免重复写权限代码，实现“配置即权限”？

开箱即用的 CloudBase工具箱

CloudBase 云开发数据库权限体系支持两种配置方式，覆盖从简单到复杂的业务场景

1、基础权限控制开箱即用，节省开发时间

• 四种预设权限类型，可视化选择，无需编码，立即生效
  • 读取全部数据，修改本人数据 → 适合内容社区、展示类应用
  • 仅读写本人数据 → 用户个人信息管理（如小程序“我的”页面）
  • 只读全部数据 → 内部数据分析、活动效果看板
  • 无权限 → 敏感数据隔离

✅ 适用场景：标准化业务、快速上线型活动、无需复杂权限逻辑的小程序

2、 安全规则权限支持灵活配置，支持动态逻辑

• JSON 格式规则，支持字段级、条件级权限控制
• 表达式驱动，基于用户身份、时间、数据内容动态判断权限
• 文档级控制，精确到具体数据内容，兼顾灵活与安全
• 客户端权限隔离，避免越权操作，安全有保障

✅ 适用场景：限时活动（如双十一）、VIP分级权限、多角色管理场景

传统开发需要编写复杂的权限规则，配置效率低；而使用CloudBase配置好的高可用性规则，可以减少重复性工作。

操作指南：

🛠️ 场景一：快速上线营销活动，基础权限一招搞定

需求：上线“双十一”活动页，允许用户查看活动商品，但只能修改自己的订单。

操作：

1. 在 CloudBase 控制台选择“读取全部数据，修改本人数据”

2. 部署完成，权限立即生效 ✅ 效果：无需写一行代码，权限与业务解耦，活动随时上线

🛠️ 场景二：为 VIP 用户临时开放某字段查看权限

需求：活动中需为 VIP 用户开放“销量数据”字段查看权限，但不愿修改代码。

操作：

1. 使用安全规则权限，配置 JSON 规则：

step1

切换到安全规则

step2

配置 JSON 规则

{
  "read": "now >= doc.startTime && now <= doc.endTime",
  //设置活动限时时段
  "write": "doc.owner == auth.uid && now <= doc.endTime"
  //设置登录用户可写
}

2. 保存后秒级生效，VIP 用户自动可见指定字段

jason 规则可见

✅ 效果：动态权限调整，不影响线上服务，避免代码发布风险

🛠️ 场景三：限时活动权限自动生效/失效

需求：活动仅在指定时间段内可读写，超时后自动关闭。

操作：

{
  "read": "now >= doc.startTime && now <= doc.endTime",
  "write": "doc.owner == auth.uid && now <= doc.endTime"
}

✅ 效果：基于时间条件自动控制权限，避免人工干预，降低运维成本

知识小Tips：JSON基本结构：

{
"read": "", 查询、获取文档
"write": "", 当未指定具体写操作时的默认规则
"create": "", 新增数据
"update": "", 修改现有数据
"delete": ""， 删除数据
}

复制

注意：如果没有指定具体的写操作规则（create/update/delete），会自动使用 write 规则。

【总结】

• 简单场景用预设权限：可视化点选，快速上线
• 复杂逻辑用安全规则：JSON 配置，支持动态逻辑
• 共性需求配置化：权限与代码解耦，一次配置多次复用

📌 用好 CloudBase 权限体系，让权限配置从“开发负担”变成“运营利器”。