本文由作者 Dennis_ 发布于社区

近期PMCAFF有好几个帖子都在问权限如何管理，给大家分享下吧。

1. 角色权限管理

说起用户权限管理，绕不开 RBAC模型，

直接上图：

RBAC（Role-Based Access Control，基于角色的访问控制），就是用户通过角色与权限（系统资源）进行关联

简单地说，一个用户拥有若干角色，每一个角色拥有若干权限。这样，就构造成“用户-角色-权限（系统资源）”的授权模型。在这种模型中，用户与角色之间，角色与权限（系统资源）之间，一般是多对多的关系

我们可管理的权限（系统资源）分为功能权限、数据权限：

功能权限，管理API和页面元素的可控与否、可见与否

数据权限，管理数据表Key-Value的可控与否、可见与否

上述模型主要体现的是对系统资源的权限管理，接下来说说对人的复杂权限管理：

对人的权限管理需求往往是权限继承、权限隔离等，涉及：

• 公司体系结构（Company Architecture），例如集团公司的管理，涉及总部和子公司、股权往来公司、业务往来公司等
• 组织架构（Organization），例如部门和子部门、部门领导和员工等
• 域（Domain），例如中国域和欧洲域
• 多业态（Multiple formats），按照不同业态对角色进行分类，例如系统类角色、营销渠道类角色等

如何实现呢？（实现方式很多，这里仅简单举例）

• 在RBAC模型中引入用户组的概念，为用户赋予用户组，为用户组赋予角色，可考虑将用户组按需关联至公司体系结构层、组织架构层、域层
• 在RBAC模型中引入角色类型的概念，可考虑将其按需关联至多业态层
• 引入角色上下级继承等

RBAC模型是目前最常用的用户权限模型，但也有弊端，对权限管理粒度太细了，不一定所有业务场景都需要如此复杂的权限模型，酌情选用，也可以酌情调整模型

2. 功能权限的管理

前文说到，功能权限的管理，本质上是在管理系统资源，是在管理一个系统某个页面中的 API和页面元素，比方说一个按钮

我们有两种做法，

• 一种是写死，即页面下有哪些API和元素，前端工程师直接写死
• 一种是配置，即允许用户自行可视化的配置这些元素

如需配置，即可引入菜单管理

菜单用来干嘛？

• 于系统来说，菜单是我们用来管理系统资源（按钮、页面图片、API等）的载体，通过对菜单和依附菜单的系统资源做权限管控，可以实现细粒度的用户权限管理。因此，菜单管理本身属于RBAC权限管理的一部分
• 于用户来说，菜单最基础的作用是导航，通过菜单，用户可以快速了解系统的功能模块划分、层级结构，也可以快速切换
  
  

菜单管理如何实现？

直接上图：

菜单的管理：

• 菜单名称
• 菜单编码，即菜单的唯一标识
• 菜单图标
• 所属应用，即该菜单属于哪个系统
• 父级菜单，即配置多级菜单
• 菜单状态，即停启用
• 跳转方式，即站内跳转和站外跳转，影响跳转路径的配置
• 跳转路径，即菜单的URL
• 打开方式，即跳转后的页面打开方式，在当前页打开，还是新页面

菜单内资源的管理：

• 资源名称，即该资源的名称，例如「新增用户」
• 资源路径，即该资源的调用路径，例如「新增用户」的路径是Add User API的地址
• 资源类型，即API，或页面元素
• 页面元素，例如一个前端绿色小按钮静态图片
• 资源关联，例如配置了一个Add User API，又配置了一个绿色的新增用户按钮图片，将其关联起来

这样，我们就可以实现系统资源的可视化配置

3. 数据权限的管理

我们对于数据权限的管理需求，无非是某些数据某个人能看，而另一个不能看之类的。前文正好也讲到，实质上是在做数据表的Key-Value读写权限管理

这里就不上图了，

实现思路也不复杂，可考虑在角色引入

• 支持选择数据表
• 支持选择数据表下的Key
• 支持选择数据表下的Key的Value
• 支持选择只读、读写
• 前端页面的逻辑，不要忘记反选哦，很多时候我们的需求就是除了某某之外，其他都能看
  
  

↘好文推荐：

所有人问「贴吧之父」俞军

产品经理逻辑学通识

干货 | 产品经理要了解的技术类知识

👇欢迎关注：

点个“在看”吧