很多系统在介绍多租户时,会强调每个机构一个账号体系、一个管理后台,听起来似乎已经完成了隔离。但放到心理软件里,如果隔离只做到“账号分开”,那往往还远远不够。
因为心理数据不只是表里的几行记录,它还会延伸到报告文件、导出缓存、角色权限、量表配置和日志追溯。如果这些层面没有一起隔离,风险依然存在。
多租户隔离不是登录分开,而是整条链路都要分开
真正的多租户隔离,至少应该包括对象数据、施测批次、报告文件、导出任务、角色权限、日志查看和配置空间。只要其中有一层还是共享逻辑,后面就有机会出现串租户、串数据、串配置的问题。
对心理软件来说,这种风险不仅是技术错误,也会直接损害机构信任。
配置不隔离,量表和报告规则就可能互相污染
有些系统把数据做了隔离,却让量表版本、报告模板、阈值设置还停留在公共配置里。这样一来,一个租户的修改就可能无意影响另一个租户的结果逻辑。
像量表版本管理和报告解释链,一旦跨租户串起来,后果通常不会小。
文件和导出任务,是最常被忽略的隔离层
很多团队会先看数据库隔离,却忽略了报告导出、临时缓存、文件命名和批量下载任务是否也跟租户强绑定。实际项目里,这些地方反而是更容易出问题的边缘层。
如果文件隔离没做好,前面的账号隔离也会被削弱。
好的多租户设计,应该让“串错租户”在系统层面尽量不可能发生
对真正重视安全的团队来说,不够稳的不是员工操作失误,而是系统一旦给了错误路径,就仍然能走过去。值得采购的心理软件,应该在数据、配置、文件、日志多个层面一起做硬隔离,而不是把隔离留给人来小心。
多租户隔离如果只做到账号分开,心理数据还是不够安全。因为真正需要被隔离的,从来不只是登录入口。