資產(chǎn)管理系統(tǒng)權(quán)限管理

資產(chǎn)管理系統(tǒng)權(quán)限管理資產(chǎn)管理系統(tǒng)權(quán)限管理權(quán)限管理系統(tǒng)定義控制功能權(quán)限配置權(quán)限注意點(diǎn)目錄123權(quán)限管理系統(tǒng)定義權(quán)限管理是一個(gè)幾乎所有后臺(tái)系統(tǒng)的都會(huì)涉及的一個(gè)重要組成部分，主要目的是對(duì)整個(gè)后臺(tái)管理系統(tǒng)進(jìn)行權(quán)限的控制，而針對(duì)的對(duì)象是員工，避免因權(quán)限控制缺失或操作不當(dāng)引發(fā)的風(fēng)險(xiǎn)問題，如操作錯(cuò)誤，數(shù)據(jù)泄露等問題。目前最廣泛的是一個(gè)賬號(hào)對(duì)應(yīng)多個(gè)角色，每個(gè)角色對(duì)應(yīng)相應(yīng)的權(quán)限集（RBAC模型）這種模型基本可以應(yīng)對(duì)所有的問題，且通過角色可以實(shí)現(xiàn)靈活且多樣的的權(quán)限操作需求。權(quán)限管理系統(tǒng)定義每個(gè)員工進(jìn)入系統(tǒng)都需要賬號(hào)，而這個(gè)賬號(hào)就是一把鑰匙。我們通過控制賬號(hào)所具備的權(quán)限，進(jìn)而控制這個(gè)員工的授權(quán)范圍。賬號(hào)的定義權(quán)限管理系統(tǒng)定義角色管理是確定角色具備哪些權(quán)限的一個(gè)過程，他是一個(gè)集合的概念，是眾多最小權(quán)限顆粒的組成。我們通過把權(quán)限給這個(gè)角色，再把角色給賬號(hào)，從而實(shí)現(xiàn)賬號(hào)的權(quán)限。角色的命名最好按照職位而定，同一職位的權(quán)限基本相同，例如科研處的普通科研人員僅有查看權(quán)限，資產(chǎn)管理員具有查看、錄入權(quán)限，科研處處長(zhǎng)具有查看、錄入、批準(zhǔn)權(quán)限。角色的定義權(quán)限管理系統(tǒng)定義權(quán)限可以分為三種：頁面權(quán)限，操作權(quán)限，數(shù)據(jù)權(quán)限。頁面權(quán)限控制你可以看到哪個(gè)頁面，看不到哪個(gè)頁面。操作權(quán)限則控制你可以在頁面上操作哪些按妞。比如游客在某個(gè)頁面上，只能查詢數(shù)據(jù)，而不能修改數(shù)據(jù)。數(shù)據(jù)權(quán)限則是控制你可以看到哪些數(shù)據(jù)，權(quán)限的定義控制功能權(quán)限控制功能權(quán)限功能權(quán)限：以角色為基礎(chǔ)，通過劃分不同角色的不同功能權(quán)限，并將員工添加到對(duì)應(yīng)的角色中，實(shí)現(xiàn)員工功能權(quán)限的區(qū)分和隔離，包括：對(duì)象級(jí)功能：比如功能的入口是否可見，“人事HR”角色可對(duì)“人員管理”的“查看列表”權(quán)限點(diǎn)操作，讓該角色下員工不可見人員管理的功能入口。操作點(diǎn)權(quán)限：比如新建、編輯等業(yè)務(wù)操作?？刂乒δ軝?quán)限字段權(quán)限：在展示信息時(shí)加權(quán)限控制，保證敏感信息的安全性。可為角色配置對(duì)象字段的讀寫、只讀或不可見。比如：為角色“科研人員”配置橫向課題的【項(xiàng)目金額】字段不可見?！咀x寫】權(quán)限：?jiǎn)T工將具備該字段的最大權(quán)限，【新建】【編輯】時(shí)可編輯，列表和詳情頁可見該字段?！局蛔x】權(quán)限：?jiǎn)T工在【新建】【編輯】時(shí)不可編輯，列表和詳情頁可見該字段?！静豢梢姟繖?quán)限：?jiǎn)T工在【新建】【編輯】【列表】【詳情】界面對(duì)該字段（或該字段值）不可見。配置權(quán)限注意點(diǎn)1.確定是否支持前端配置如果角色和權(quán)限相對(duì)固定，則一般將角色與權(quán)限的關(guān)系可以寫在后臺(tái)，改動(dòng)時(shí)需要后端變更且重新上線。如果需要自定義角色、或者每個(gè)角色在不同使用者的場(chǎng)景下有不同的權(quán)限，則需要將角色的定義、角色與權(quán)限之間的配置體現(xiàn)在“前端用戶配置頁面”。配置權(quán)限注意點(diǎn)2.以基本單元拆分，以業(yè)務(wù)邏輯配置一般可將每個(gè)對(duì)象的“增、刪、改、查”各自作為一個(gè)基本的權(quán)限單元。比如，在“人員管理”中，查看人員列表、添加人員、刪除人員、編輯人員信息最好拆分為4個(gè)權(quán)限單元。但是在業(yè)務(wù)層面有些操作卻是一體的。例如，如果我們確定在系統(tǒng)的現(xiàn)有和未來業(yè)務(wù)中，僅分為普通成員有“人員管理”的查看權(quán)限，管理員有操作權(quán)限，則可將“增、刪、改”三個(gè)基本權(quán)限單位合并為“操作”權(quán)限進(jìn)行配置。配置權(quán)限注意點(diǎn)3.頁面權(quán)限優(yōu)先于操作和數(shù)據(jù)權(quán)限必須配置了頁面模塊權(quán)限后，才能配置當(dāng)前頁面模塊下具體的操作權(quán)限，以及頁面模塊的數(shù)據(jù)展示權(quán)限；4.查看權(quán)限優(yōu)先于增刪改權(quán)限正常情況下，一定要先能查看某個(gè)模塊或操作，其它的增刪改操作才有意義。因此在設(shè)計(jì)時(shí)，應(yīng)在獲取查看權(quán)限前限制其它權(quán)限的配置；或者配置其它權(quán)限時(shí)默認(rèn)賦予查看權(quán)限。配置權(quán)限注意點(diǎn)5.角色與權(quán)限的多種關(guān)系角色與權(quán)限的關(guān)系不僅是單純“是/否關(guān)系”，還包括以某種限制進(jìn)行操作，和以某種程度訪問數(shù)據(jù)。例如在“資產(chǎn)管理”中：數(shù)據(jù)范圍：用戶擁有查看資產(chǎn)列表的權(quán)限，但僅能查看自己名下的