返回目录:win7问题
内容导航:
一、三个模块,搭建后台用户角色权限管理系统
一个后台的用户角色权限系统总是可以大概划分为三个打的模块的:用户管理、角色管理、权限管理。本文作者将就此三个模块展开叙述,enjoy~
一. 用户角色权限系统说明
1. RBAC权限设计模型
(1)RBAC
(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联,从而获得某些功能的使用权限。权限被赋予给角色,而不是用户,但是一个用户可以拥有若干个角色,当一个角色被赋予给某一个用户时,此用户就拥有了该角色所包含的功能权限。简单地说,一个用户拥有若干角色,每一个角色拥有若干功能权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。如下图:
2. 三大模块搭建后台用户角色权限系统
如上所述,一个后台的用户角色权限系统总是可以大概划分为三个打的模块的:用户管理、角色管理、权限管理。用户管理往往随着行政部门划分或者随着业务线部门划分,对应部门或者小组内的用户有着基本相似的功能需求和权限等级;角色管理相对来讲更加固定,它往往是基于业务管理需求而预先在系统中设定好的角色标签,一般不会随意更改,更像是一个用户分组标签;权限管理内容相对更加庞杂和丰富,主要包含了目标、操作和许可权三个部分,当某一功能权限授权给用户时,也就相当于为该用户开通了可以操作某个目标功能的许可权。
角色权限系统属于策略设计的范畴,它的设计非常考验一个PM对业务的理解力以及对自己后台所有功能的熟悉程度。做角色权限系统之前一定要先深度了解业务流程以及后台的所有功能模块,在不了解的情况下,多向相关同事请教,避免角色权限系统设计过程中出差错和逻辑漏洞。
二. 用户角色权限系统建设的三大模块
1. 用户管理
用户管理中的用户主要是功能系统的使用者,这些用户是一个一个的员工个体,这些个体往往从两个维度来进行划分:行政关系(部门架构)、业务部门(业务架构)。用户管理就是在此两个维度来给员工个体进行关联性的初步分群或者分组。按照行政部门或者按照业务线部门划分后,对应部门或者小组内的用户有着基本相似的系统功能使用需求和权限等级;
注:上图例为按照行政关系划分的用户管理模式
注:上图例为按照业务线关系划分的用户管理模式
2. 角色管理
(1)角色管理
角色往往是基于业务管理需求而预先在系统中设定好的固定标签,每个角色对应明确的系统权限,其所拥有的系统权限一般不会随意更改,并且角色也不会随着用户的被添加和被移除而进行改变,相较于用户管理而言更加稳定;
(2)自动赋权:用户自动进入角色
如果角色与行政关系下的组织部门存在绑定关系,那么如果一个用户进入到该组织部门后,该用户会自动被加入到对应的角色中,并且拥有该角色所有的系统权限。如一个财务人员【小张】入职财务部后,那么该用户无需进行额外的授权即可在对应财务报表系统查看该部门员工可查看的财务数据报表和对应的操作权限(比如操作财务审批等);
(3)角色赋权:用户被添加进角色
业务是不断创新和发展的,随着业务的发展,会有越来越多的新的角色被设置和创建,比如公司新启动了一个企业团餐项目,项目部横向的从各个部门找了多个员工组建项目团队,并且该项目的业务权限也只是授权给这批员工可查看和操作,那么,在此项目中,会产生一个新的角色 “ 财务1 ”,系统高级管理员会把从财务部门选中的财务【小张】添加到“ 财务1 ”这个角色中,那么【小张】即可获得查看企业团餐项目业务数据报表和操作的权限。这种权限的授予无法通过用户行政关系的自动绑定来实现;
(4)角色继承:角色权限的继承
权限可以是独有的,也可以是继承的。每个角色都有自己的权限集,角色继承其实也就是继承父系角色的权限,一般角色在继承其父系角色的全部权限的基础上增加拥有一些自己的权限。而系统角色继承往往存在于用户分级管理比较明确的团队或者公司;
(5)角色互斥:角色包含的权限互斥
角色互斥的业务背景:当一个业务流程由于风控的原因,需要将其操作给划分成分开的几个步骤时,需要给这几个不同的步骤授权不同的角色,并且这些角色之间需要进行互斥。比如大额财务报销审批流程,财务人员【小张】拥有了审批人权限后,就无法将审核确认的权限再授予小张,以此来规避一个人完成大额报销而带来的财务风险;
(6)临时角色
临时角色往往是针对特殊群体设置的,比如公司有特殊访问团队莅临,需要给这些特殊的客户一些临时身份来体验某些功能操作。那么把这些人添加到部门的组织架构中显然是不合适的,因为这些人只是临时的摆放者,不是企业员工;其次,这些客户需要体验的功能操作往往是横跨多个业务模块和产品线的(比较繁杂),一般公司并没有现成的固定角色符合拥有客户所需的全部操作权限,因此需要给这些客户开设临时角色,并且支持给临时角色最大的权限选择空间;
(7)黑白名单
3. 权限管理
(1)权限管理
权限管理更多是从功能菜单、功能操作、数据参数三个不同颗粒度等级来考量的。具体颗粒度的大小视公司结构和团队规模而定,如果不是业务属性一定要求将权限控制到非常精细的级别,其实就没有必要将权限的颗粒度拆分到具体某一项操作或者某一个按钮,毕竟后台产品的核心是业务管理平台,主要目标是辅助业务的管理和推进。
注:如图为某一后台产品的部分截图,其中可见功能菜单页、功能操作按钮和数据字段。
(2)功能菜单权限
对于后台产品来讲,针对功能菜单来划分用户权限其实是比较粗颗粒度的一种管理方式,这种模式下用户一旦获得授权即可使用该菜单栏下的全部数据查看权限和功能操作权限;
(3)功能操作权限
功能操作层级的权限相对于功能菜单会更为深入,这种情况下,不同角色的用户可以进入同一菜单页后台查看相同的数据字段信息,但是他们可执行的功能操作不同;
(4)数据字段权限
数据字段层面是较细颗粒度的拆分,他会实现不同角色用户在进入同一菜单页后台时,可见的数据字段都有差异。比如销售人员进入某销售业绩管理后台时,可以看到自己的业绩提升数据,但是财务人员看到的是业务工单的费用字段,这些字段共存在一个菜单页中,只是受限于不同的角色权限而已。
三. 案例分析
1. 促销活动权限系统权限对接
以某一促销活动的后台从无权限限制到接入用户角色权限管理系统为例,详情如下:
注:以上为某产品的促销活动管理后台截图
2. 促销活动后台接入权限系统前
在促销活动后台接入权限系统之前,几乎全部的系统权限都处于裸奔的状态,所有人业务线成员都可以查看该后台的运营活动内容和运营结果数据,并且可以执行相对敏感的操作。这种情况显然是存在一定的管理风险的,因此该后台系统需要对接权限管理系统进行系统化管理和风险控制;
3. 促销活动后台接入权限系统时
促销活动在接入权限管理系统过程中,需要拆解该功能模块的权限元素(到一定颗粒度),因此需要根据业务特征来判断需要拆分的颗粒度,是到功能菜单、功能操作还是数据字段的级别,明确拆分颗粒度之后,权限管理系统才可以给不同角色按照颗粒度授予权限;
4. 促销活动后台接入权限系统后
促销活动在接入权限管理系统过程后,当对应角色的用户再次登录这个后台时,首先后台会校验该用户的角色是否拥有该功能模块的权限,以及该角色权限对应的操作权限和数据字段权限,校验结果经服务端处理会在产品端展示给用户可见。这个时候,同一用户再该后台可见和可执行的操作与接入权限管理系统之前可能有很大的不同,这就是基于用户角色的权限管理系统带来的改变。
四. Q&A
1. 一个用户拥有多个角色,多角色之间如果存在互斥关系如何处理?
如果一个用户已经被添加到某一角色范围下,那么,当给该用户添加一个与当前角色存在权限互斥关系的角色时,系统会进行互斥性判断,后面的角色就无法给该用户添加成功;
2. 业务发展过程中,如何保证不同角色之间权限拆分清晰?
随着业务的快速发展,一定会不断新增不同的角色和更多的功能模块,而且这些角色和功能权限之间的关系也会日益混乱,这个时候需要产品经理和业务方一起,及时的面对业务的发展变化,及时、快速的梳理业务调整范围,作出对应的改变;
3. 用户权限管理系统核心难点是前期的产品设计吗?
用户权限管理系统核最难的不是前期的产品设计,而是后续的运营维护,因为权限系统的结构往往不会随意变更,但是随着业务发展快速出现的角色和功能模块,为了防止角色和功能权限之间的关系变得混乱,在建立新的角色和分配权限的时候需要思路清晰且慎重调整。
完结~
本文由 @阳明(刘同) & @云殊(张俊恒)原创发布于人人都是产品经理。未经许可,禁止转载
题图来自 unsplash,基于 CC0 协议
二、做一个权限管理系统,角色一般有哪些?
角色这个东西应该是你设置的,可以添加,删除,修改觉得,然后给每一个用户分配不同的觉得比较好权限自然就是你的系统比如有3个模块,员工管理,设备管理,部门管理,你就可以对这3个部门分别有怎删改的权限,也聚是9个权限,然后在角色中给某一个角色分配不同的权限,比如角色1有其中的6个权限,角色2有其中的8个权限,你自己选择,然后再把这个角色配置给用户
我以前是这么弄的,但愿对你有帮助
三、怎么设计用户权限管理系统数据库?要用到哪几张表?每张表有哪些字段?
1、首先在oracle数据库创建教学管理系统需,要用到的数据表如下。
2、上述中数据表的其他信息创建。(departments表、class表、students表、course表)。
3、步骤一中数据表的其他信息创建。(teacher表、teach表、score表)。
4、然后对创建的数据表按要求输入数据值。
5、最后按照上述要求继续用插入语句添加数据值。
6、查询学生信息表中学生的学号、姓名、性别、出生日期、班级编码,并以汉字标题显示字段名。就完成了。
四、角色权限对应各模块功能说明
模块 子菜单 角色权限 说明首页 通用权限
设置 个人资料 通用权限/用户基本设置 集成EAS的OA可以不设置通用权限而只设置用户基本设置权限
修改密码
消息设置
快捷菜单
签名设置 通用权限,公文处理 角色权限中使用逗号,表示多个权限同时授予,子菜单才会显示,下同
常用意见
公文表单设置 通用权限,工作流管理 年假管理为特殊项目开发,默认不存在此功能
工作流设置
公文报表设置
审批决策群设置
表单选择字典设置
表单树形字典设置
友情连接设置 友情连接
年假管理 年假维护管理
公文处理 待办文件 公文处理
已办文件
新建公文
草稿箱
文件监控
文件观察
事务委托
查询报表
报表统计
流程归档
公文统计 公文统计报表
知识中心 知识中心首页 文章阅读/文章发表修改删除 角色权限中使用/斜杠,表示拥有其中某一种权限,子菜单就能显示,下同
知识地图导航
待审核的文章 普通栏目管理/根栏目管理
处理借阅申请
分类管理(类型维度)
根栏目管理
知识分类管理
通知公告 最新公告 通知公告/通知公告管理
历史公告
新建公告 通知公告管理
我的公告
公告审核 通知公告审核
日程安排 待参加日程 日程管理
我安排的日程
按周查看日程
按月查看日程
按年查看日程
历史日程
电子邮件 收邮件 电子邮件
写邮件
帐号设置
自定义文件夹
高级搜索
新闻中心 最新的新闻 新闻阅读
我发表的新闻 新闻发表
待审核的新闻 新闻审核
新闻栏目管理 系统新闻栏目管理
会议管理 待参加会议 会议管理
我召集的会议
历史会议
会议室预约
待审核的会议 会议室管理
会议室管理
公司论坛 分类导航 论坛访问/论坛管理
我发起的帖子
我回复的帖子
分类管理 论坛管理
权限管理
消息中心 已收到消息
通用权限 需要使用手机短信,请进入OA后台设置短信接口(环境设置-> 集成管理-> 手机短信集成)
已发送消息
发送新消息
发送手机短信 通用权限, 手机短信
已发手机短信
通讯录 系统通讯录 通讯录管理/通讯录 通讯录管理权限可以公共通讯录中增加分组及记录
公共通讯录
个人通讯录
文件传阅 传阅一览 文件传阅
新建传阅
收件箱
发件箱
收藏箱
回收箱
已删文件 传阅管理
查询文件
办公用品 库房管理 模块管理员
入库管理 库房管理员
出库管理
盘点管理
采购计划
分类管理
审核管理 申请审批员
个人申请 普通用户
图书管理 图书室管理 图书系统管理
图书分类管理
新书推荐 图书系统管理/图书室管理员/图书检索
我的借阅
图书入库 图书室管理员
借阅管理
归还管理
图书催还
车辆管理 车辆预约 车辆使用人员 车辆系统管理/车辆部门审核员/车辆管理员都具有车辆预约权限
车队信息 车辆系统管理
车辆分类
部门审批 车辆部门审核员
车管处理 车辆管理员
归车登记
车辆档案
司机管理
维修保养
事故登记
违章处理
车辆报废
车辆调拨
费用登记
费用类别
费用报表
档案管理 文件管理 档案业务/档案管理
档案管理
我的收藏
高级查询
全宗设置 档案管理
门类设置
调查投票 问卷分类管理 调查投票管理员 步骤:
1. 新建分类
2. 发布调查
3. 参与调查
发布问卷调查
参与问卷调查 调查投票使用/调查投票管理员