PMdiss():
B端垂直的产品经理社区,是京东、阿里、美团等互联网人学习和交流的平台。我们不仅有CRM、ERP、OMS、WMS、TMS、OA等系统的Demo研习;
还有各种B端产品垂直的弹药库,包含产品说明书、操作手册、白皮书、业务需求说明书、系统说明书;
以及适合-1~3年产品经理快速成长的各类认知
对于后台系统来说,权限管理是一个重要的模块。本文将从理论知识和实际项目经验相结合,介绍权限管理系统设计逻辑及过程,希望能给大家带来帮助。
功能细分思维导图
一、权限管理系统概述
1. 权限管理系统的作用
2. 权限管理系统的三要素
权限管理系统三要素分别是账号、角色和权限。权限管理系统的存在,总的是为了将三要素之间的关系讲清楚。
(1) 账号
每个后台系统的使用者,都有自己的账号。账号是使用者进入系统后台的钥匙,它的权限对应着使用者在系统中的操作范围。后台产品的账号,通常是由公司内部对应的人员进行创建。
(2) 角色
角色是搭建在账号与权限之间的一道桥梁。系统中会有各种各样的权限,如果每建一个账号都要配置一遍权限,这样工作效率将大大的降低。因此,角色作为使用者人群的集合,把需要的权限提前收归于其中,然后再根据账号的具体需求来配置角色。通常会根据不同的部门、岗位、工作内容等,对角色进行设置。
角色这一概念的引入,极大地增加了权限管理系统配置的灵活性和便捷性。创建账号时,可以将不同的角色配置在同一个账号上,也可以给不同的账号配置相同的角色。创建角色时,可以根据角色的差异赋予其不同的权限。
(3) 权限
权限可分为三类:数据权限、操作权限和页面权限。
数据权限:控制账号可看到的数据范围。举例说明,风控系统中,负责不同区域的信审人员,只能看到自己负责区域的标的,不能看到和修改其他区域的。
页面权限:控制账号可以看到的页面,通常系统都会有这一层权限控制。这种控制相对操作权限来说比较粗放,难以对权限进行精细管理。
操作权限:控制账号在页面上可以操作的按钮,通常指的是页面中的新增、删除、编辑、查询功能。没有操作权限,就只能看到页面中的数据,但是不能对数据进行操作。操作权限是比页面权限更精细一层的权限控制。
3. RBAC模型
(1) 定义
RBAC模型(Role-Based Access Control:基于角色的访问控制),认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为True的求解过程,也即是将权限问题转换为What、How的问题,Who、What、How构成了访问权限三元组。
在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。
RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型),极大地方便了权限的管理。
下面在讲解之前,先介绍一些名词:
(2) Role(角色):不同角色具有不同的权限;
(3) Permission(权限):访问权限;
用户-角色映射:用户和角色之间的映射关系;角色-权限映射:角色和权限之间的映射。
例如:管理员和普通用户被授予不同的权限,普通用户只能去修改和查看个人信息,而不能创建创建用户和冻结用户,而管理员由于被授 予所有权限,所以可以做所有操作。
当有多个账号需要配置相同的权限时,有了角色后便不需要给每个账号挨个配置权限,只需要在角色上配置权限,再把角色配置到账号上。如果想批量调整账号的权限,只需要调整账号对应的角色的权限,无需对每个账号进行调整。
(2) 类型
RBAC模型根据设计需要,可分为RBAC0、RBAC1、RBAC2、RBAC3四种类型。其中RBAC0是基础,另外三种是RBAC0的升级。产品经理在进行权限系统设计时,可以结合实际情况来选择使用的RBAC模型的类型。
具体对于RBAC模型详细介绍,可查看此篇文章《 RBAC权限管理模型 》。
二、权限管理系统设计实例
下面介绍的系统是以 RBAC0模型设计的, 即把权限赋予角色,角色赋予账号,账号、角色、权限之间是多对多的关系。
1. 账号(用户)管理
(1) 账号列表页面
账号管理模块是对系统用户信息进行统一的增、删、改,列表主要展示编号、真实姓名、用户名、部门、角色、创建时间、账号状态等重要字段。
页面上还有新建账号和筛选账号的账户的功能,让管理员快速针对账号进行操作。
(2) 新建账号
新建账号功能出现的界面以弹窗展示、如果是界面的信息过多的话可用重开页面显示,页面内容除了上述的基本信息外,还需要对账号赋予角色,可选择多个角色。
(3) 编辑账号
除了需要创建新账号外,还需要对已有的账号进行修改(操作栏中“编辑”功能),账号用户的真实姓名和用户名不可修改,其他信息可修改。当然大家可以按照项目实际需求角色权限设计,也可将真实姓名和用户名转为可编辑状态。
2、角色管理
(1) 角色页面展示
角色,即为拥有共同特征的同一类人群身份的归纳,在角色管理模块对角色进行设置,列表主要展示角色名称、角色描述、创建时间、更新时间、状态等重要字段。
(2) 新建角色
新建角色是对角色进行描述并赋予权限的过程,若权限数量不多,可采用下拉列表的方式选择。若权限数量多且分类繁杂,则可采用分组列表的方式展示,让用户通过复选框勾选。为了操作简便,建议增加全选/反选功能。
权限如何产生可与技术同学进行沟通即可。
(3) 编辑角色
操作栏中的“编辑”功能,对已有角色进行修改,角色的名称、描述、状态、权限均可修改材质材料,每次修改后在列表中记录更新时间。
(4)对应账号
角色的对应账号指的是配置过该角色的账号,点击后在新页面中打开,展示账号信息,包括账号的真实姓名、用户名、部门、创建时间、账号状态,并可在列表中对账号进行编辑。
3. 权限管理
(1) 页面设计
若系统中权限数量较多且权限类型复杂(页面权限、操作权限、数据权限),为了保证管理员使用便捷及减低出错概率,可以将权限管理页面以列表的形式展示,展示页面包含权限编号、名称、类型、描述、创建时间等。
若系统权限较为简单,则可用树状图来展示权限,不需要对权限做过多描述。
(2) 新增权限
新增权限的输入页面,不同的系统要求不同,有的需要开发录入代码,有的需要产品经理录入新权限的URL,还有的系统中不展示新增权限入口。产品经理在设计时需要和开发沟通,选择适合目前技术能力的方案。
三、RBAC0模型的三种扩展
1. RBAC1模型(角色分级模型)
RBAC1建立在RBAC0基础之上,在角色中引入了继承的概念。简单理解就是,给角色可以分成几个等级,每个等级权限不同,从而实现更细粒度的权限管理。
例如: 一个公司的销售经理可能是分几个等级的,譬如除了销售经理,还有销售副经理,而销售副经理只有销售经理的部分权限。这时候,我们就可以采用RBAC1的分级模型,把销售经理这个角色分成多个等级,给销售副经理赋予较低的等级即可。
2. RBAC2模型(角色限制模型)
该模型也是以RBAC0模型为基础,引入了角色间的限制条件,共有4种限制条件。
(1) 角色互斥
(2) 基数限制
(3) 先决条件限制
(3) 运行限制
详细介绍,可查看此篇文章《 RBAC权限管理模型 》。
3. RBAC3(统一模型)
RBAC3是RBAC1和RBAC2的合集,所以RBAC3既有角色分层,也包括可以增加各种限制。
四、补充说明
1. 用户组设置
基于RBAC模型,还可以适当延展,使其更适合我们的产品。譬如增加用户组概念,直接给用户组分配角色,再把用户加入用户组。这样用户除了拥有自身的权限外,还拥有了所属用户组的所有权限。
譬如角色权限设计,我们可以把一个部门看成一个用户组,如销售部,财务部,再给这个部门直接赋予角色,使部门拥有部门权限,这样这个部门的所有用户都有了部门权限。用户组概念可以更方便的给群体用户授权,且不影响用户本来就拥有的角色权限。
2. 角色的数据权限控制
在实际业务当中,相同的角色在同一页面中,所拥有的数据权限也有可能是不同的。
例如:负责不同区域的审核人能看到各自区域的数据。所以在设置角色的权限时,应该要结合实际业务情况对角色的数据权限进行设置。也可能会出现同样的角色,在同一个页面上,所查看到的字段权限不一样。
3. 未设置权限的展示
对于角色中未设置的权限的情况,页面上有两种展示方式。第一种根据权限的设置来展示,没有权限的不予展示。第二种是显示所有的功能和权限硬件设备,点击时告知用户是否有此权限。
福利时间
欢迎加入超级vip
添加优惠多多
下面是pmdiss微信号,加他!
风里雪里,我们等你
关于我们
很开心找到志同道合的你
