對于后臺系統(tǒng)來說，權(quán)限管理是一個(gè)重要的模塊。本文將從理論知識和實(shí)際項(xiàng)目經(jīng)驗(yàn)相結(jié)合，介紹權(quán)限管理系統(tǒng)設(shè)計(jì)邏輯及過程，希望能給大家?guī)韼椭?br/>

功能細(xì)分思維導(dǎo)圖

一、權(quán)限管理系統(tǒng)概述

1. 權(quán)限管理系統(tǒng)的作用

對整個(gè)后臺系統(tǒng)進(jìn)行權(quán)限控制，目的是為了避免系統(tǒng)的使用者因?yàn)闄?quán)限控制的缺失而出現(xiàn)操作不當(dāng)、數(shù)據(jù)泄露、流程卡住等問題。比如：結(jié)算模塊指定財(cái)務(wù)、公司管理層能看，客服無法查看。

2. 權(quán)限管理系統(tǒng)的三要素

權(quán)限管理系統(tǒng)三要素分別是賬號、角色和權(quán)限。權(quán)限管理系統(tǒng)的存在，總的是為了將三要素之間的關(guān)系講清楚。

每個(gè)后臺系統(tǒng)的使用者，都有自己的賬號。賬號是使用者進(jìn)入系統(tǒng)后臺的鑰匙，它的權(quán)限對應(yīng)著使用者在系統(tǒng)中的操作范圍。后臺產(chǎn)品的賬號，通常是由公司內(nèi)部對應(yīng)的人員進(jìn)行創(chuàng)建。

角色是搭建在賬號與權(quán)限之間的一道橋梁。系統(tǒng)中會有各種各樣的權(quán)限，如果每建一個(gè)賬號都要配置一遍權(quán)限，這樣工作效率將大大的降低。因此，角色作為使用者人群的集合，把需要的權(quán)限提前收歸于其中，然后再根據(jù)賬號的具體需求來配置角色。通常會根據(jù)不同的部門、崗位、工作內(nèi)容等，對角色進(jìn)行設(shè)置。

角色這一概念的引入，極大地增加了權(quán)限管理系統(tǒng)配置的靈活性和便捷性。創(chuàng)建賬號時(shí)，可以將不同的角色配置在同一個(gè)賬號上，也可以給不同的賬號配置相同的角色。創(chuàng)建角色時(shí)，可以根據(jù)角色的差異賦予其不同的權(quán)限。

權(quán)限可分為三類：數(shù)據(jù)權(quán)限、操作權(quán)限和頁面權(quán)限。

數(shù)據(jù)權(quán)限：控制賬號可看到的數(shù)據(jù)范圍。舉例說明，風(fēng)控系統(tǒng)中，負(fù)責(zé)不同區(qū)域的信審人員，只能看到自己負(fù)責(zé)區(qū)域的標(biāo)的，不能看到和修改其他區(qū)域的。

頁面權(quán)限：控制賬號可以看到的頁面，通常系統(tǒng)都會有這一層權(quán)限控制。這種控制相對操作權(quán)限來說比較粗放，難以對權(quán)限進(jìn)行精細(xì)管理。

操作權(quán)限：控制賬號在頁面上可以操作的按鈕，通常指的是頁面中的新增、刪除、編輯、查詢功能。沒有操作權(quán)限，就只能看到頁面中的數(shù)據(jù)，但是不能對數(shù)據(jù)進(jìn)行操作。操作權(quán)限是比頁面權(quán)限更精細(xì)一層的權(quán)限控制。

3. RBAC模型

(1) 定義

RBAC模型（Role-Based Access Control：基于角色的訪問控制），認(rèn)為權(quán)限授權(quán)的過程可以抽象地概括為：Who是否可以對What進(jìn)行How的訪問操作，并對這個(gè)邏輯表達(dá)式進(jìn)行判斷是否為True的求解過程，也即是將權(quán)限問題轉(zhuǎn)換為What、How的問題，Who、What、How構(gòu)成了訪問權(quán)限三元組。

在RBAC模型里面，有3個(gè)基礎(chǔ)組成部分，分別是：用戶、角色和權(quán)限。

RBAC通過定義角色的權(quán)限，并對用戶授予某個(gè)角色從而來控制用戶的權(quán)限，實(shí)現(xiàn)了用戶和權(quán)限的邏輯分離（區(qū)別于ACL模型），極大地方便了權(quán)限的管理。

下面在講解之前，先介紹一些名詞：

(1) User（用戶）：每個(gè)用戶都有唯一的UID識別，并被授予不同的角色；

(2) Role（角色）：不同角色具有不同的權(quán)限；

(3) Permission（權(quán)限）：訪問權(quán)限；

用戶-角色映射：用戶和角色之間的映射關(guān)系；角色-權(quán)限映射：角色和權(quán)限之間的映射。

例如：管理員和普通用戶被授予不同的權(quán)限，普通用戶只能去修改和查看個(gè)人信息，而不能創(chuàng)建創(chuàng)建用戶和凍結(jié)用戶，而管理員由于被授 予所有權(quán)限，所以可以做所有操作。

當(dāng)有多個(gè)賬號需要配置相同的權(quán)限時(shí)，有了角色后便不需要給每個(gè)賬號挨個(gè)配置權(quán)限，只需要在角色上配置權(quán)限，再把角色配置到賬號上。如果想批量調(diào)整賬號的權(quán)限，只需要調(diào)整賬號對應(yīng)的角色的權(quán)限，無需對每個(gè)賬號進(jìn)行調(diào)整。

(2) 類型

RBAC模型根據(jù)設(shè)計(jì)需要，可分為RBAC0、RBAC1、RBAC2、RBAC3四種類型。其中RBAC0是基礎(chǔ)，另外三種是RBAC0的升級。產(chǎn)品經(jīng)理在進(jìn)行權(quán)限系統(tǒng)設(shè)計(jì)時(shí)，可以結(jié)合實(shí)際情況來選擇使用的RBAC模型的類型。

具體對于RBAC模型詳細(xì)介紹，可查看此篇文章《RBAC權(quán)限管理模型》。

二、權(quán)限管理系統(tǒng)設(shè)計(jì)實(shí)例

下面介紹的系統(tǒng)是以RBAC0模型設(shè)計(jì)的，即把權(quán)限賦予角色，角色賦予賬號，賬號、角色、權(quán)限之間是多對多的關(guān)系。

1. 賬號(用戶)管理

(1) 賬號列表頁面

賬號管理模塊是對系統(tǒng)用戶信息進(jìn)行統(tǒng)一的增、刪、改，列表主要展示編號、真實(shí)姓名、用戶名、部門、角色、創(chuàng)建時(shí)間、賬號狀態(tài)等重要字段。

頁面上還有新建賬號和篩選賬號的賬戶的功能，讓管理員快速針對賬號進(jìn)行操作。

(2) 新建賬號

新建賬號功能出現(xiàn)的界面以彈窗展示、如果是界面的信息過多的話可用重開頁面顯示，頁面內(nèi)容除了上述的基本信息外，還需要對賬號賦予角色，可選擇多個(gè)角色。

(3) 編輯賬號

除了需要創(chuàng)建新賬號外，還需要對已有的賬號進(jìn)行修改（操作欄中“編輯”功能），賬號用戶的真實(shí)姓名和用戶名不可修改，其他信息可修改。當(dāng)然大家可以按照項(xiàng)目實(shí)際需求，也可將真實(shí)姓名和用戶名轉(zhuǎn)為可編輯狀態(tài)。

2、角色管理

(1) 角色頁面展示

角色，即為擁有共同特征的同一類人群身份的歸納，在角色管理模塊對角色進(jìn)行設(shè)置，列表主要展示角色名稱、角色描述、創(chuàng)建時(shí)間、更新時(shí)間、狀態(tài)等重要字段。

(2) 新建角色

新建角色是對角色進(jìn)行描述并賦予權(quán)限的過程，若權(quán)限數(shù)量不多，可采用下拉列表的方式選擇。若權(quán)限數(shù)量多且分類繁雜，則可采用分組列表的方式展示，讓用戶通過復(fù)選框勾選。為了操作簡便，建議增加全選/反選功能。

權(quán)限如何產(chǎn)生可與技術(shù)同學(xué)進(jìn)行溝通即可。

(3) 編輯角色

操作欄中的“編輯”功能，對已有角色進(jìn)行修改，角色的名稱、描述、狀態(tài)、權(quán)限均可修改，每次修改后在列表中記錄更新時(shí)間。

（4）對應(yīng)賬號

角色的對應(yīng)賬號指的是配置過該角色的賬號，點(diǎn)擊后在新頁面中打開，展示賬號信息，包括賬號的真實(shí)姓名、用戶名、部門、創(chuàng)建時(shí)間、賬號狀態(tài)，并可在列表中對賬號進(jìn)行編輯。

3. 權(quán)限管理

(1) 頁面設(shè)計(jì)

若系統(tǒng)中權(quán)限數(shù)量較多且權(quán)限類型復(fù)雜（頁面權(quán)限、操作權(quán)限、數(shù)據(jù)權(quán)限），為了保證管理員使用便捷及減低出錯(cuò)概率，可以將權(quán)限管理頁面以列表的形式展示，展示頁面包含權(quán)限編號、名稱、類型、描述、創(chuàng)建時(shí)間等。

若系統(tǒng)權(quán)限較為簡單，則可用樹狀圖來展示權(quán)限，不需要對權(quán)限做過多描述。

(2) 新增權(quán)限

新增權(quán)限的輸入頁面，不同的系統(tǒng)要求不同，有的需要開發(fā)錄入代碼，有的需要產(chǎn)品經(jīng)理錄入新權(quán)限的URL，還有的系統(tǒng)中不展示新增權(quán)限入口。產(chǎn)品經(jīng)理在設(shè)計(jì)時(shí)需要和開發(fā)溝通，選擇適合目前技術(shù)能力的方案。

三、RBAC0模型的三種擴(kuò)展

1. RBAC1模型（角色分級模型）

RBAC1建立在RBAC0基礎(chǔ)之上，在角色中引入了繼承的概念。簡單理解就是，給角色可以分成幾個(gè)等級，每個(gè)等級權(quán)限不同，從而實(shí)現(xiàn)更細(xì)粒度的權(quán)限管理。

例如：一個(gè)公司的銷售經(jīng)理可能是分幾個(gè)等級的，譬如除了銷售經(jīng)理，還有銷售副經(jīng)理，而銷售副經(jīng)理只有銷售經(jīng)理的部分權(quán)限。這時(shí)候，我們就可以采用RBAC1的分級模型，把銷售經(jīng)理這個(gè)角色分成多個(gè)等級，給銷售副經(jīng)理賦予較低的等級即可。

2. RBAC2模型（角色限制模型）

該模型也是以RBAC0模型為基礎(chǔ)，引入了角色間的限制條件，共有4種限制條件。

(1) 角色互斥

(2) 基數(shù)限制

(3) 先決條件限制

(3) 運(yùn)行限制

詳細(xì)介紹，可查看此篇文章《RBAC權(quán)限管理模型》。

3. RBAC3（統(tǒng)一模型）

RBAC3是RBAC1和RBAC2的合集，所以RBAC3既有角色分層，也包括可以增加各種限制。

四、補(bǔ)充說明

1. 用戶組設(shè)置

基于RBAC模型，還可以適當(dāng)延展，使其更適合我們的產(chǎn)品。譬如增加用戶組概念，直接給用戶組分配角色，再把用戶加入用戶組。這樣用戶除了擁有自身的權(quán)限外，還擁有了所屬用戶組的所有權(quán)限。

譬如，我們可以把一個(gè)部門看成一個(gè)用戶組，如銷售部，財(cái)務(wù)部，再給這個(gè)部門直接賦予角色，使部門擁有部門權(quán)限，這樣這個(gè)部門的所有用戶都有了部門權(quán)限。用戶組概念可以更方便的給群體用戶授權(quán)，且不影響用戶本來就擁有的角色權(quán)限。

2. 角色的數(shù)據(jù)權(quán)限控制

在實(shí)際業(yè)務(wù)當(dāng)中，相同的角色在同一頁面中，所擁有的數(shù)據(jù)權(quán)限也有可能是不同的。

例如：負(fù)責(zé)不同區(qū)域的審核人能看到各自區(qū)域的數(shù)據(jù)。所以在設(shè)置角色的權(quán)限時(shí)，應(yīng)該要結(jié)合實(shí)際業(yè)務(wù)情況對角色的數(shù)據(jù)權(quán)限進(jìn)行設(shè)置。也可能會出現(xiàn)同樣的角色，在同一個(gè)頁面上，所查看到的字段權(quán)限不一樣。

3. 未設(shè)置權(quán)限的展示

對于角色中未設(shè)置的權(quán)限的情況，頁面上有兩種展示方式。第一種根據(jù)權(quán)限的設(shè)置來展示，沒有權(quán)限的不予展示。第二種是顯示所有的功能和權(quán)限，點(diǎn)擊時(shí)告知用戶是否有此權(quán)限。