Settings and permissions
权限控制
讲 Claude Code 的权限怎么收、怎么放,哪些该先锁紧。
页面信息
这页不是官方原文,而是顺着官方文档结构做的中文解释版。命令、参数、配置名这些硬东西尽量保留,解释部分则尽量讲成人能照着做的话。
如果你碰到特别敏感的配置、权限或企业环境差异,最好顺手点上面的“查看原始文档”再核一遍。
这一页先讲明白
这页讲的是 Claude Code 到底能碰什么、不能碰什么。
说白了,就是先把帮工的活动范围画清楚,免得它手伸得太长。
你可以把权限想成院门钥匙和工具柜钥匙。哪把给它,哪把先别给,得提前说清。
这一页重点不是炫技,而是教你怎么把“能读、能改、能执行”这些权限拆开管。
如果你想既让它干活,又不想它乱跑,这页就是硬规矩。
先从最保守的权限开始,确认任务确实需要,再一点点放开。
Bash、读写文件、联网请求这些权限不要混着开,最好一类一类验。
真要让它长期进项目干活,就把规则写细,别只靠临时口头交代。
Documentation Index
这里不是让你背"Documentation Index"这个词,而是让你看它真干活时怎么使。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Permission system
这里不是让你背"Permission system"这个词,而是让你看它真干活时怎么使。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Manage permissions
这段主要是在说平时怎么管,不是光教你怎么开。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Permission modes
这一块主要是在说"Permission modes"真到手上该怎么用,哪里最容易踩坑。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Permission rule syntax
看到这里,就别靠猜了,字段、格式和写法都得按说明来。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Match all uses of a tool
这里不是让你背"Match all uses of a tool"这个词,而是让你看它真干活时怎么使。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Use specifiers for fine-grained control
看到这里,就把"Use specifiers for fine-grained control"当成一件真要上手的活来看。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Wildcard patterns
看到这里,就把"Wildcard patterns"当成一件真要上手的活来看。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Wildcard patterns
这一段说完,最后还得写到配置里才算真的生效。
{
"permissions": {
"allow": [
"Bash(npm run *)",
"Bash(git commit *)",
"Bash(git * main)",
"Bash(* --version)",
"Bash(* --help *)"
],
"deny": [
"Bash(git push *)"
]
}
}Tool-specific permission rules
这一块主要是在说"Tool-specific permission rules"真到手上该怎么用,哪里最容易踩坑。
Bash
这里不是让你背"Bash"这个词,而是让你看它真干活时怎么使。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
PowerShell
这一块主要是在说"PowerShell"真到手上该怎么用,哪里最容易踩坑。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
PowerShell
想把这条规矩固定住,就把下面这块老老实实写进去。
{
"permissions": {
"allow": [
"PowerShell(Get-ChildItem *)",
"PowerShell(git commit *)"
],
"deny": [
"PowerShell(Remove-Item *)"
]
}
}Read and Edit
这一块主要是在说"Read and Edit"真到手上该怎么用,哪里最容易踩坑。
这里还牵扯作用域,意思就是这条规则到底管当前项目、你个人,还是只管这一趟会话。
WebFetch
这一段主要是在把"WebFetch"讲实,不是只摆个标题给你看。
MCP
这一段主要是在把"MCP"讲实,不是只摆个标题给你看。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Agent (subagents)
这一段是在说怎么用 Agent(AgentName) rules 去做 control which subagents Claude can use:。看这种内容,光知道名字没用,还是得落到手上。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Agent (subagents)
这会儿轮到改配置了,字段名和关键字别自己乱换。
{
"permissions": {
"deny": ["Agent(Explore)"]
}
}Extend permissions with hooks
这一段主要是在把"Extend permissions with hooks"讲实,不是只摆个标题给你看。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Working directories
这里不是让你背"Working directories"这个词,而是让你看它真干活时怎么使。
这里还牵扯作用域,意思就是这条规则到底管当前项目、你个人,还是只管这一趟会话。
Additional directories grant file access, not configuration
这一块主要是在说"Additional directories grant file access, not configuration"真到手上该怎么用,哪里最容易踩坑。
这里还牵扯作用域,意思就是这条规则到底管当前项目、你个人,还是只管这一趟会话。
How permissions interact with sandboxing
这一块主要是在说"How permissions interact with sandboxing"真到手上该怎么用,哪里最容易踩坑。
看这段时要特别盯工具和权限边界,别为了省事一把全开。
Managed settings
这里不是让你背"Managed settings"这个词,而是让你看它真干活时怎么使。
这里还牵扯作用域,意思就是这条规则到底管当前项目、你个人,还是只管这一趟会话。
Managed-only settings
这一段不只是挂个标题,它是在说明"Managed-only settings"这一块到底负责什么。
这里还牵扯作用域,意思就是这条规则到底管当前项目、你个人,还是只管这一趟会话。
Settings precedence
看到这里,就把"Settings precedence"当成一件真要上手的活来看。
这里还牵扯作用域,意思就是这条规则到底管当前项目、你个人,还是只管这一趟会话。
Example configurations
这里是样板段。重点不是全文照抄,而是学它怎么把职责、步骤和边界写清楚。
See also
这一段主要是在把"See also"讲实,不是只摆个标题给你看。
这里还牵扯作用域,意思就是这条规则到底管当前项目、你个人,还是只管这一趟会话。
照着做一遍
权限最怕一上来全放开。
最稳的办法是先给最小权限,真干不动时再一点点加。
第 1 步:先用最保守方式开工
先让它动手前都问你,别一开始就给满权限。
claude第 2 步:先让它看,不急着让它改
先确认它认路没错,再考虑放编辑权限。
Explain this codebase before making any changes.第 3 步:哪类不够,就只补哪类
比如先补文件编辑,不要顺手把 Bash、联网全开了。
{
"permissions": {
"edit": "ask"
}
}第 4 步:阶段结束后把口子收回来
临时放开的权限别一直挂着,做完就该回收。
Review allowed tools and remove anything no longer needed.一眼看懂这一页
这页的作用,就是把原本偏专业的话题,拆成能直接照着走的明白话。
权限控制
|
v
讲 Claude Code 的权限怎么收、怎么放,哪些该先锁紧。
|
v
照着步骤去做文末提醒
这站会按官方 docs 的导航和内容变化继续重生成,原站加页、删页、改页时,这里会跟着更新。
人话解释会尽量顺着原页往下讲,但命令、参数名、配置名这些硬东西还是保留原样,免得你抄过去跑不起来。
顺手再看