客户端权限控制（ACL）

JuiceFS 文件系统的元数据（如目录结构、文件属性和时间戳等）保存在 Metadata 服务中，通过令牌（Token）进行授权访问。用户可以通过 JuiceFS Web 控制台管理令牌，支持基于 IP 范围、读写权限和挂载子目录等的访问规则。

访问令牌

运行 juicefs mount 挂载文件系统或 juicefs auth 进行交互认证时，系统将提示输入此令牌。默认令牌可以在文件系统设置页面找到，你也可以设置多个创建多个令牌，为每一个配置不同的 ACL 以及其他挂载设置。

默认令牌允许用户从任意 IP 范围对整个文件系统进行读写操作。如需进行更精细的配置，可以前往访问控制管理界面。

令牌分为两类，一类用于客户端访问文件系统内容，另一类仅供访问监控 API。

客户端访问令牌

客户端访问令牌用于授权客户端访问文件系统，并且控制着一些客户端行为，你可以在「控制台 → 访问控制」标签页进行配置。选项说明如下：

• IP 范围：仅允许来自指定 IP 范围的访问
• 读写权限
  • 只读：仅允许读操作（open、read、readdir 等）。
  • 可读可追加写：在读操作的基础上同时允许以追加模式打开文件并写入。
  • 可读可写：允许所有读写操作。
• 挂载选项
  • 挂载子目录：只能挂载这个子目录之下的路径，通过 --subdir 参数指定。
  • 允许后台任务：客户端默认开启后台任务，如数据块删除、碎片合并及文件系统跨区域同步等（该功能是全局的，不受读写、子目录权限影响）。因此对于低带宽的机器，建议禁用后台任务，避免影响系统整体性能。

API 访问令牌

JuiceFS 通过 Prometheus API 为每个文件系统导出监控数据，此列表中的令牌仅可用于访问监控 API，无法用于挂载文件系统。