Перейти к основному содержанию
Роль — это набор разрешений: какие объекты приложение может читать или изменять, какие поля оно может видеть и какие возможности платформенного уровня оно может использовать. Функции логики и фронтенд‑компоненты каждого приложения наследуют разрешения роли, помеченной с помощью defineApplicationRole() (см. раздел Роль функции по умолчанию ниже).
src/roles/restricted-company-role.ts
import {
  defineRole,
  STANDARD_OBJECT_UNIVERSAL_IDENTIFIERS,
  SystemPermissionFlag,
} from 'twenty-sdk/define';

export default defineRole({
  universalIdentifier: '2c80f640-2083-4803-bb49-003e38279de6',
  label: 'My new role',
  description: 'A role that can be used in your workspace',
  canReadAllObjectRecords: false,
  canUpdateAllObjectRecords: false,
  canSoftDeleteAllObjectRecords: false,
  canDestroyAllObjectRecords: false,
  canUpdateAllSettings: false,
  canBeAssignedToAgents: false,
  canBeAssignedToUsers: false,
  canBeAssignedToApiKeys: false,
  objectPermissions: [
    {
      objectUniversalIdentifier:
        STANDARD_OBJECT_UNIVERSAL_IDENTIFIERS.company.universalIdentifier,
      canReadObjectRecords: true,
      canUpdateObjectRecords: true,
      canSoftDeleteObjectRecords: false,
      canDestroyObjectRecords: false,
    },
  ],
  fieldPermissions: [
    {
      objectUniversalIdentifier:
        STANDARD_OBJECT_UNIVERSAL_IDENTIFIERS.company.universalIdentifier,
      fieldUniversalIdentifier:
        STANDARD_OBJECT_UNIVERSAL_IDENTIFIERS.company.fields.name
          .universalIdentifier,
      canReadFieldValue: false,
      canUpdateFieldValue: false,
    },
  ],
  permissionFlagUniversalIdentifiers: [SystemPermissionFlag.APPLICATIONS],
});

Роль функции по умолчанию

Когда вы создаёте новое приложение с помощью шаблона, CLI создаёт файл роли по умолчанию, объявленный с помощью defineApplicationRole():
src/roles/default-role.ts
import { defineApplicationRole } from 'twenty-sdk/define';

export const DEFAULT_ROLE_UNIVERSAL_IDENTIFIER =
  'b648f87b-1d26-4961-b974-0908fd991061';

export default defineApplicationRole({
  universalIdentifier: DEFAULT_ROLE_UNIVERSAL_IDENTIFIER,
  label: 'Default function role',
  description: 'Default role for function Twenty client',
  canReadAllObjectRecords: true,
  canUpdateAllObjectRecords: false,
  canSoftDeleteAllObjectRecords: false,
  canDestroyAllObjectRecords: false,
  canUpdateAllSettings: false,
  canBeAssignedToAgents: false,
  canBeAssignedToUsers: false,
  canBeAssignedToApiKeys: false,
  objectPermissions: [],
  fieldPermissions: [],
  permissionFlagUniversalIdentifiers: [],
});
defineApplicationRole() — это тонкая обёртка вокруг defineRole(), которая помечает ту роль, которая используется как роль приложения по умолчанию во время установки. Проверка идентична defineRole, но конвейер сборки автоматически подключает его universalIdentifier к полю defaultRoleUniversalIdentifier манифеста приложения — поэтому вам не нужно ссылаться на него из defineApplication самостоятельно. Заметки:
  • Допускается ровно один вызов defineApplicationRole(...) на приложение — сборка манифеста завершится с ошибкой, если будет найдено более одного.
  • Используйте defineRole() (а не defineApplicationRole()) для любых дополнительных ролей, которые ставятся вместе с вашим приложением.
  • Явная установка defaultRoleUniversalIdentifier в defineApplication() всё ещё поддерживается для обратной совместимости, но считается устаревшей по сравнению с defineApplicationRole().

Лучшие практики

  • Начните с сгенерированной роли и постепенно ограничивайте её — роль по умолчанию предоставляет широкий доступ на чтение, что редко подходит для продакшена.
  • Замените objectPermissions и fieldPermissions на точные объекты и поля, которые действительно нужны вашим функциям.
  • permissionFlagUniversalIdentifiers управляют доступом к возможностям на уровне платформы. Сведите их к минимуму.
  • См. рабочий пример: hello-world/src/roles/function-role.ts.