Trang quản trị & phân quyền Casbin

Khách đã mua hàng được rồi, nhưng mèo con cần một nơi của riêng mình để quản lý cửa hàng: thêm/sửa sản phẩm, theo dõi kho, xem giao dịch nạp tiền và số dư khách. Đó là trang quản trị (admin dashboard) - tách khỏi trang mua hàng của khách.

Dựng giao diện admin thì dễ. Việc khó và quan trọng là: làm sao chỉ mèo con (admin) vào được, khách thường thì không.

Hai khái niệm dễ lẫn. Authentication (xác thực) là "bạn là ai" - phần Better-auth đã lo. Authorization (phân quyền) là "bạn được làm gì". Một khách đã đăng nhập (qua authn) vẫn không được vào trang quản trị (chặn ở authz).

• ▸Authentication: bạn là ai (đăng nhập) - đã có ở bài Better-auth.
• ▸Authorization: bạn được làm gì - bài này lo.
• ▸Đăng nhập KHÔNG có nghĩa được làm mọi thứ; admin là một lớp quyền riêng.

Khoá dùng Casbin để phân quyền. Mèo con khai báo vai trò (role) - vd "khach" và "admin" - và chính sách (policy) - luật "vai trò nào được làm gì". Mỗi request tới khu admin, Casbin trả lời cho phép hay từ chối:

# vai trò admin được mọi hành động trong khu /admin
admin, /admin/*, *
# vai trò khach chỉ được xem trang mua hàng
khach, /san-pham, xem
# gán vai trò cho tài khoản
meo_chu_shop -> admin
khach_le      -> khach

Một cạm bẫy chết người: chỉ ẩn nút admin trên giao diện. Ẩn nút mới là cho gọn mắt; khách thường vẫn có thể gõ thẳng địa chỉ /admin hoặc gọi API. Nếu server không chặn, dữ liệu lọt hết.

Mô tả cho Claude khá gọn: dựng khu /admin quản lý tài khoản, hàng, kho, giao dịch và số dư; gắn Casbin với vai trò khach/admin; và chặn mọi route admin bằng kiểm quyền trước khi chạy. Claude lo phần dựng; mèo con kiểm lại đúng ý đồ.

• ▸Admin quản: tài khoản, sản phẩm & kho, giao dịch nạp tiền, số dư khách.
• ▸Casbin gác cửa: gán vai trò cho tài khoản, policy quyết định quyền.
• ▸Chặn ở server cho TỪNG route admin - không dựa vào việc ẩn nút.

Admin dashboard chủ yếu là bảng (table) và biểu mẫu (form): danh sách đơn, kho, giao dịch nạp tiền. Dựng nó bằng cùng design system - primary color + bảng màu + shadcn-react/Tailwind đã thiết lập ở bài Skills & Subagents - để admin và trang khách trông như một sản phẩm, không lệch màu mỗi nơi một kiểu.

• ▸Dùng lại design tokens (primary + bảng màu) → admin nhất quán với shop.
• ▸Bảng & form dựng bằng shadcn-react + Tailwind; layout admin thường là sidebar + vùng nội dung.
• ▸Mobile-first: nhiều người quản cửa hàng bằng điện thoại - bảng phải cuộn ngang hoặc xếp lại, nút đủ to.

Admin quản vận hành - hàng, đơn, số dư - nhưng không có quyền chạm vào tài khoản của khách hay user cấp dưới: không đọc hay đặt mật khẩu hộ, không tắt hay reset 2FA của họ. Quản trị không phải là chiếm tài khoản.

• ▸Mật khẩu đã băm một chiều - admin cũng KHÔNG đọc được (như bài đăng nhập).
• ▸2FA (Passkey/TOTP) do CHÍNH CHỦ tài khoản quản; admin không tắt/reset hộ.
• ▸Admin cùng lắm tạm khoá (suspend) tài khoản vi phạm, không mạo danh đăng nhập.
• ▸Mọi thao tác admin lên tài khoản người khác đều ghi log để truy vết.

Sản phẩm lớn lên thường có thêm manager - được admin cấp một phần quyền, trong đó có quyền phân quyền cho user khác. Đây là chỗ dễ bị leo thang phân quyền (privilege escalation): manager tự nâng quyền mình, hoặc cấp cho user khác quyền cao hơn quyền manager đang có.

• ▸Không ai cấp được quyền mình KHÔNG có: chỉ gán được tập quyền là con của quyền mình.
• ▸Không tự sửa vai trò/quyền của CHÍNH MÌNH lên cao hơn.
• ▸Vai trò có thứ bậc: manager dưới admin; manager không sửa được admin hay user ngang/cao hơn.
• ▸Mọi thay đổi phân quyền kiểm ở SERVER (Casbin) và ghi log (audit) để truy vết.

Phân quyền sai là một trong những lỗ hổng hay gặp nhất (và nguy hiểm nhất). Trước khi mở, cho subagent bảo mật (OWASP) rà phần phân quyền, và tự thử: đăng nhập bằng tài khoản khách rồi gọi thẳng URL admin xem có lọt không.