Architecture

角色

1. 超级管理员(Super Admin)：支持所有操作
2. 项目管理员(Project Admin)：创建项目，维护项目成员，查看项目全量会话和日志，导出项目报告，归档项目
3. 操作员(Operator)：新建目标，执行目标操作，查看所有操作日志
4. 审计员(Auditor)：查看审计日志，检索操作记录，查看时间线，导出审计报告

功能清单

认证与授权

1. 系统不开放自注册，仅允许管理员后台创建账号。
2. 用户首次登录必须修改初始密码，并完成 2FA 绑定。
3. 支持登录日志记录，包含登录时间、IP、设备信息、登录结果等。
4. 使用 access_token + refresh_token 的 JWT 会话机制，支持多端登录、会话管理与主动下线。
5. 管理员可执行密码重置并下发临时密码；用户再次登录后必须修改密码。
6. 支持基于角色的权限控制（RBAC），按系统级、项目级进行权限隔离。
7. 敏感操作需进行二次校验（如密码确认、2FA 校验或二次验证）。

项目管理

1. 系统以“项目”为核心管理单元。
2. 项目创建后需分配成员与角色，成员仅可访问自己参与或创建的项目。
3. 支持项目基础信息维护，如名称、描述、状态、负责人、创建时间等。
4. 支持项目归档，归档后默认禁止新增操作，仅保留查看与导出能力。

网站管理

部署方式为通过向目标网站放置动态脚本文件，通过动态脚本文件进行连接和管理，例如 JSP/ASPX/MJS 等

1. 支持生成网站管理脚本，用于目标网站接入与远程管理。
2. 支持 Java/Node.js/.NET 三种语言，后续可能会更多
3. 支持 HTTP/HTTPS、WebSocket、SSE、RPC 等等协议连接
4. 支持对网站管理脚本进行连通性测试与环境校验。
5. 支持通过已接入脚本执行网站管理操作。
6. 支持维护网站基础信息，如站点名称、域名、技术栈、部署环境、状态等。
7. 所有网站相关操作必须进行留痕，包括接入、测试、修改、执行等行为。

插件管理

插件的使用场景是上传到网站管理脚本到目标网站上执行

1. 支持网站管理脚本所依赖插件的新增、编辑、删除、启停与版本管理。

审计日志

1. 用户行为日志：登录/登出/登录失败/修改密码/修改个人配置等
2. 项目行为日志：创建/修改/归档项目，添加/删除成员等
3. 网站管理日志：创建/修改网站脚本连接等
4. 网站操作日志：连接网站管理脚本，执行命令，文件浏览记录，插件加载，插件运行等等
5. 管理行为日志：成员管理/角色管理/权限管理等等