完整的权限管理系统

完整的权限管理系统

权限管理系统定义

权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分，主要目的是对整个后台管理系统进行权限的控制，而针对的对象是员工，避免因权限控制缺失或操作不当引发的风险问题，如操作错误，数据泄露等问题。

其实权限管理的设计并不难，就目前来说最广泛的是一个账号对应多个角色，每个角色对应相应的权限集（RBAC模型）这种模型基本可以应对所有的问题，且通过角色可以实现灵活且多样的的权限操作需求，我们梳理一下上面主要提到的几个名词：账号、角色、权限。

1. 账号的定义

每个员工想要进入系统肯定都会有一个账号，而这个账号就是一把钥匙。

我们通过控制账号所具备的权限，进而控制这个员工的授权范围。

因此需要告诫员工，账号密码不能轻易提供他人，不然遇到的问题由自己承担。

2. 角色的定义

角色管理是确定角色具备哪些权限的一个过程，他是一个集合的概念，是众多最小权限颗粒的组成。

我们通过把权限给这个角色，再把角色给账号，从而实现账号的权限，因此它承担了一个桥梁的作用。

引入角色这个概念，可以帮助我们灵活的扩展，使一个账号可以具备多种角色。

角色的命名最好按照职位而定，例如市场部普通员工，市场部主管等。因为职位在任何企业都是存在的，且是有限的，并且容易理解，市场部文员那就是市场部文员角色，方便我们配置权限时的判断，避免配置错误。

3. 权限的定义

权限可以分为三种：页面权限，操作权限，数据权限。

页面权限

控制你可以看到哪个页面，看不到哪个页面。

很多系统都只做到了控制页面这一层级，它实现起来比较简单，一些系统会这样设计，但是比较古板，控制的权限不精细，难以在页面上对权限进行更下一层级的划分。

操作权限

则控制你可以在页面上操作哪些按妞。

延伸：当我们进入一个页面，我们的目的无非是在这个页面上进行增删改查，那在页面上对应的操作可能是：查询，删除，编辑，新增四个按钮。

可能你在某个页面上，只能查询数据，而不能修改数据。

数据权限

数据权限则是控制你可以看到哪些数据，比如市场A部的人只能看到或者修改A部创建的数据，他看不到或者不能修改B部的数据。

延伸：数据的控制我们一般通过部门去实现，每条记录都有一个创建人，而每一个创建人都属于某个部门，因此部门分的越细，数据的控制层级也就越精细，这里是否有其他好的方式除了部门这个维度还有其他什么方式可以控制数据权限，大家可以提出来探讨一下。

很多人都知道以角色为基础的权限管理设计（RBAC），但是大部分人似懂非懂，不知道完整的权限管理系统都包括哪些内容。

   在此以权限管理的使用场景来说明一下完整的权限管理内容。
   
    一是鉴权管理 ，即权限判断逻辑。
   
   1. 最基本的权限管理就是菜单管理，用户没有权限的功能模块在菜单节点上是不显示的。（很多人以为这就是权限管理！）
      示例：普通业务人员登录系统后，是看不到【用户管理】菜单的。
      
   2. 功能权限管理，B/S系统的功能体现为URL，所以功能权限管理主要是针对URL访问的管理。（很多人都不清楚权限管理的对象是什么？）
      示例：
      经过授权，部门经理可以查看【用户管理】菜单，并查看部门用户信息，但权限设计要求，该部门经理没有添加用户的权限。
      所以在访问【添加用户】的功能（URL）时，应该有没有授权的提示信息。
      同时在【用户管理】页面上，【添加用户】的按钮应该灰色显示，不能点击。
      
   3. 行级权限管理
      示例：
      论坛管理员，权限设计要求 A能管理论坛 【新闻版块】，不能管理论坛 【技术交流】
      此时的权限设计就应该根据论坛的相应ID来判断权限信息。
      
   4. 列级权限管理
      示例：
      业务权限设计要求，除销售人员以外，其他用户不能看到客户的联系方式信息。
      此时的权限设计要判断相应的字段（列）是否可以显示。
      
   5. 组织机构/部门级数据权限管理
      示例:
      业务权限设计要求，销售一部的人员只能看到本部门的销售订单，销售二部的人员只能看到本部门的销售订单，但销售经理可以同时看到
      销售一部和销售二部的销售订单。
      此时的权限设计就要根据销售订单数据本身的部门属性来做判断
      
   6. 范围型业务数据权限管理
      示例：
      大卖场销售人员在下销售订单时，要选择相应的产品所在仓库信息。
      业务权限设计要求，【国美】的销售人员在选择仓库的下拉列表中不能看到【广州仓库】，而【大中电器】的销售人员在选择仓库的下拉列表中不能看到【北京顺义仓库】
      
    二是授权管理 ，即权限分配过程。以上的权限管理内容都要通过系统的授权功能来分配给具体的用户，授权功能应该足够灵活。
   
   1. 直接对用户授权，直接分配到用户的权限具有最优先级别。
   
   2. 对用户所属岗位授权，用户所属岗位信息可以看作是一个分组，和角色的作用一样，但是每个用户只能关联一个岗位信息。
   
   3. 对用户所属角色授权，用户所属角色信息可以看作是一个权限分组，每个用户可以关联多个角色。
   
   4. 角色直接关联具体的功能权限（URL），也可以关联负权限，即此角色关联的权限不能使用负权限功能。负权限具有优先级别。
   
   5. 分级授权，系统管理员可以将自己拥有的权限信息授权给其他用户。即可以设置分级管理员和超级管理员。
   
   以上才是一个完整的权限管理系统，你有这样的完整权限的设计吗？