做SonarQube权限管理时，最容易乱的地方，不是按钮找不到，而是把全局权限、项目权限和令牌管理混成了一层。SonarSource官方文档把这条线分得很清楚，全局权限在【Administration】【Security】【Global Permissions】里管理，项目相关权限更多通过权限模板和项目级权限页来落地；而Token又是另一条独立链路，既有用户自己生成和轮换的分析令牌，也有管理员代用户生成或撤销的用户令牌。换句话说，权限和Token虽然都在安全域里，但真正稳的做法是分层治理。

　　一、SonarQube权限怎么配

　　SonarQube权限怎么配，先不要一上来就在项目里逐个勾人。更稳的顺序，是先定全局权限，再定权限模板，最后再落到具体项目。因为官方文档已经明确，项目默认权限本来就是通过permission template在项目创建时自动套用的。

　　1、先配全局权限

　　进入【Administration】【Security】【Global Permissions】后，先按用户或组去授予全局权限。官方文档说明，项目创建本身就要求【Create Projects】全局权限，所以谁能新建项目，不该放到项目阶段再讨论，而应当先在这一层定清。

　　2、再定新项目默认可见性

　　官方文档写得很直接，新建项目默认可以是Public或Private，这个入口在【Administration】【Projects】【Management】里配置。若企业更强调隔离，通常更适合把默认可见性改成Private，这样后面项目级Browse和See Source Code权限才真正有意义。

　　3、项目权限优先用权限模板

　　进入【Administration】【Security】【Permission Templates】后，可以创建模板、设描述、写Project key pattern，并把模板设成项目默认模板。官方文档明确说明，项目创建时会先按key pattern匹配模板，匹配不上时再用默认模板，所以权限模板比项目建好后再手工补授权更稳。

　　4、模板改完要重新应用

　　这一点很容易漏。官方文档特别提醒，修改权限模板后，并不会自动把新权限同步到已关联项目，必须再到【Administration】【Projects】【Management】里批量应用模板。也就是说，模板更新和项目生效不是同一个动作。

　　二、SonarQube项目权限与令牌Token怎么管理

　　SonarQube项目权限与令牌Token怎么管理，关键不是分别会点这两个菜单，而是先知道哪类权限管“谁能看、谁能管、谁能分析”，哪类Token又只负责“谁拿什么身份去执行分析”。官方文档已经把项目权限和Token类型拆得很细，按这个边界管理会更稳。

　　1、项目权限先按能力分

　　在项目权限页里，最核心的几项包括Browse Project、See Source Code、Administer Issues、Administer Security Hotspots、Administer project和Execute Analysis on project。官方文档写得很清楚，Browse和源码查看更多是访问层权限，Administer project涉及项目设置和项目级权限管理，而Execute Analysis on project直接决定能不能向该项目推送分析结果。

　　2、私有项目要把Browse和源码权限分开看

　　官方文档明确说明，Browse Project和See Source Code都只对私有项目有意义，而且源码查看还要求先有Browse权限。这意味着项目一旦设成Private，就不要只给源码权限而忘了可见性权限，否则用户仍然看不到内容。

　　3、Token先按类型选

　　官方文档把分析Token主要分成两类，一类是Project analysis token，只能分析指定项目；另一类是Global analysis token，可以分析所有项目。官方还明确建议优先使用项目分析令牌，因为即使泄露，影响范围也只限于单个项目。

　　4、Token的创建权限要和分析权限对齐

　　Project analysis token的创建前提，是该用户拥有全局Execute Analysis或该项目的Execute Analysis权限；Global analysis token则要求用户拥有Global Execute Analysis。并且官方还特别说明，如果令牌作者失去了对应的分析权限，该Token也会失效。

　　5、Token的生成和轮换要走固定入口

　　用户自己的Token在【User】【My Account】【Security】里生成，创建时可以选择类型和过期时间。管理员若要代用户生成或撤销用户令牌，则走【Administration】【Security】【Users】里该用户的Tokens列。官方文档还说明，系统管理员可以设置新令牌的最大生命周期，但这个设置只影响新生成的Token，不会追溯修改旧Token。

　　三、SonarQube权限与Token怎么统一管理

　　SonarQube权限与Token怎么统一管理，关键不在于把所有安全设置都放到一个人手里，而在于让“项目可见范围”“项目操作边界”“分析身份凭证”三条线彼此对齐。官方文档已经给出足够清晰的分层入口，也说明了新项目默认权限、模板匹配、项目分析权限和Token生命周期之间的关系。把这些关系先理顺，后面的项目管理会轻很多。

　　1、先用模板统一项目权限基线

　　把常见项目的默认授权先放进Permission Templates里，再根据项目key pattern自动匹配，这样新项目一建出来，谁能看、谁能分析、谁能管，基本就有了统一起点。这样做比每个项目都手工授权更不容易漂。

　　2、再用项目权限补个别差异

　　模板解决的是大多数项目的共性，项目级权限页更适合处理少数例外。比如某个私有项目需要额外给一组人Browse和See Source Code，或者某个项目只开放Execute Analysis给特定流水线用户，这些都应放到项目层补，而不是反过来把模板越改越碎。

　　3、最后用项目分析Token收口分析入口

　　如果你希望分析权限最小化，最实用的做法通常是给每个项目单独用Project analysis token，再把它交给对应CI。官方文档已经明确鼓励这种做法，因为它比全局分析令牌更符合最小权限原则。

　　总结

　　SonarQube权限怎么配，比较稳的顺序是先配Global Permissions，再设默认可见性和Permission Templates，最后把个别差异落到项目级权限。SonarQube项目权限与令牌Token怎么管理，更实用的做法则是把Browse、See Source Code、Administer project和Execute Analysis这些项目权限先分清，再优先使用项目分析Token，并把生成、过期和撤销纳入固定管理入口。把权限和Token这两条线分层收住，SonarQube的安全边界通常会比只靠人工记忆清楚得多。