很可惜 T 。T 您现在还不是作者身份,不能自主发稿哦~
如有投稿需求,请把文章发送到邮箱tougao@appcpx.com,一经录用会有专人和您联系
咨询如何成为春羽作者请联系:鸟哥笔记小羽毛(ngbjxym)
对于后台系统来说,权限管理是一个重要的模块。本文将从理论知识和实际项目经验相结合,介绍权限管理系统设计逻辑及过程,希望能给大家带来帮助。
功能细分思维导图
1. 权限管理系统的作用
对整个后台系统进行权限控制,目的是为了避免系统的使用者因为权限控制的缺失而出现操作不当、数据泄露、流程卡住等问题。比如:结算模块指定财务、公司管理层能看,客服无法查看。
2. 权限管理系统的三要素
权限管理系统三要素分别是账号、角色和权限。权限管理系统的存在,总的是为了将三要素之间的关系讲清楚。
每个后台系统的使用者,都有自己的账号。账号是使用者进入系统后台的钥匙,它的权限对应着使用者在系统中的操作范围。后台产品的账号,通常是由公司内部对应的人员进行创建。
角色是搭建在账号与权限之间的一道桥梁。系统中会有各种各样的权限,如果每建一个账号都要配置一遍权限,这样工作效率将大大的降低。因此,角色作为使用者人群的集合,把需要的权限提前收归于其中,然后再根据账号的具体需求来配置角色。通常会根据不同的部门、岗位、工作内容等,对角色进行设置。
角色这一概念的引入,极大地增加了权限管理系统配置的灵活性和便捷性。创建账号时,可以将不同的角色配置在同一个账号上,也可以给不同的账号配置相同的角色。创建角色时,可以根据角色的差异赋予其不同的权限。
权限可分为三类:数据权限、操作权限和页面权限。
数据权限:控制账号可看到的数据范围。举例说明,风控系统中,负责不同区域的信审人员,只能看到自己负责区域的标的,不能看到和修改其他区域的。
页面权限:控制账号可以看到的页面,通常系统都会有这一层权限控制。这种控制相对操作权限来说比较粗放,难以对权限进行精细管理。
操作权限:控制账号在页面上可以操作的按钮,通常指的是页面中的新增、删除、编辑、查询功能。没有操作权限,就只能看到页面中的数据,但是不能对数据进行操作。操作权限是比页面权限更精细一层的权限控制。
3. RBAC模型
(1) 定义
RBAC模型(Role-Based Access Control:基于角色的访问控制),认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为True的求解过程,也即是将权限问题转换为What、How的问题,Who、What、How构成了访问权限三元组。
在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。
RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型),极大地方便了权限的管理。
下面在讲解之前,先介绍一些名词:
(1) User(用户):每个用户都有唯一的UID识别,并被授予不同的角色;
(2) Role(角色):不同角色具有不同的权限;
(3) Permission(权限):访问权限;
用户-角色映射:用户和角色之间的映射关系;角色-权限映射:角色和权限之间的映射。
例如:管理员和普通用户被授予不同的权限,普通用户只能去修改和查看个人信息,而不能创建创建用户和冻结用户,而管理员由于被授 予所有权限,所以可以做所有操作。
当有多个账号需要配置相同的权限时,有了角色后便不需要给每个账号挨个配置权限,只需要在角色上配置权限,再把角色配置到账号上。如果想批量调整账号的权限,只需要调整账号对应的角色的权限,无需对每个账号进行调整。
(2) 类型
RBAC模型根据设计需要,可分为RBAC0、RBAC1、RBAC2、RBAC3四种类型。其中RBAC0是基础,另外三种是RBAC0的升级。产品经理在进行权限系统设计时,可以结合实际情况来选择使用的RBAC模型的类型。
具体对于RBAC模型详细介绍,可查看此篇文章《RBAC权限管理模型》。
二、权限管理系统设计实例
下面介绍的系统是以RBAC0模型设计的,即把权限赋予角色,角色赋予账号,账号、角色、权限之间是多对多的关系。
1. 账号(用户)管理
(1) 账号列表页面
账号管理模块是对系统用户信息进行统一的增、删、改,列表主要展示编号、真实姓名、用户名、部门、角色、创建时间、账号状态等重要字段。
页面上还有新建账号和筛选账号的账户的功能,让管理员快速针对账号进行操作。
(2) 新建账号
新建账号功能出现的界面以弹窗展示、如果是界面的信息过多的话可用重开页面显示,页面内容除了上述的基本信息外,还需要对账号赋予角色,可选择多个角色。
(3) 编辑账号
除了需要创建新账号外,还需要对已有的账号进行修改(操作栏中“编辑”功能),账号用户的真实姓名和用户名不可修改,其他信息可修改。当然大家可以按照项目实际需求,也可将真实姓名和用户名转为可编辑状态。
2、角色管理
(1) 角色页面展示
角色,即为拥有共同特征的同一类人群身份的归纳,在角色管理模块对角色进行设置,列表主要展示角色名称、角色描述、创建时间、更新时间、状态等重要字段。
(2) 新建角色
新建角色是对角色进行描述并赋予权限的过程,若权限数量不多,可采用下拉列表的方式选择。若权限数量多且分类繁杂,则可采用分组列表的方式展示,让用户通过复选框勾选。为了操作简便,建议增加全选/反选功能。
权限如何产生可与技术同学进行沟通即可。
(3) 编辑角色
操作栏中的“编辑”功能,对已有角色进行修改,角色的名称、描述、状态、权限均可修改,每次修改后在列表中记录更新时间。
(4)对应账号
角色的对应账号指的是配置过该角色的账号,点击后在新页面中打开,展示账号信息,包括账号的真实姓名、用户名、部门、创建时间、账号状态,并可在列表中对账号进行编辑。
3. 权限管理
(1) 页面设计
若系统中权限数量较多且权限类型复杂(页面权限、操作权限、数据权限),为了保证管理员使用便捷及减低出错概率,可以将权限管理页面以列表的形式展示,展示页面包含权限编号、名称、类型、描述、创建时间等。
若系统权限较为简单,则可用树状图来展示权限,不需要对权限做过多描述。
(2) 新增权限
新增权限的输入页面,不同的系统要求不同,有的需要开发录入代码,有的需要产品经理录入新权限的URL,还有的系统中不展示新增权限入口。产品经理在设计时需要和开发沟通,选择适合目前技术能力的方案。
1. RBAC1模型(角色分级模型)
RBAC1建立在RBAC0基础之上,在角色中引入了继承的概念。简单理解就是,给角色可以分成几个等级,每个等级权限不同,从而实现更细粒度的权限管理。
例如:一个公司的销售经理可能是分几个等级的,譬如除了销售经理,还有销售副经理,而销售副经理只有销售经理的部分权限。这时候,我们就可以采用RBAC1的分级模型,把销售经理这个角色分成多个等级,给销售副经理赋予较低的等级即可。
2. RBAC2模型(角色限制模型)
该模型也是以RBAC0模型为基础,引入了角色间的限制条件,共有4种限制条件。
(1) 角色互斥
(2) 基数限制
(3) 先决条件限制
(3) 运行限制
详细介绍,可查看此篇文章《RBAC权限管理模型》。
3. RBAC3(统一模型)
RBAC3是RBAC1和RBAC2的合集,所以RBAC3既有角色分层,也包括可以增加各种限制。
1. 用户组设置
基于RBAC模型,还可以适当延展,使其更适合我们的产品。譬如增加用户组概念,直接给用户组分配角色,再把用户加入用户组。这样用户除了拥有自身的权限外,还拥有了所属用户组的所有权限。
譬如,我们可以把一个部门看成一个用户组,如销售部,财务部,再给这个部门直接赋予角色,使部门拥有部门权限,这样这个部门的所有用户都有了部门权限。用户组概念可以更方便的给群体用户授权,且不影响用户本来就拥有的角色权限。
2. 角色的数据权限控制
在实际业务当中,相同的角色在同一页面中,所拥有的数据权限也有可能是不同的。
例如:负责不同区域的审核人能看到各自区域的数据。所以在设置角色的权限时,应该要结合实际业务情况对角色的数据权限进行设置。也可能会出现同样的角色,在同一个页面上,所查看到的字段权限不一样。
3. 未设置权限的展示
对于角色中未设置的权限的情况,页面上有两种展示方式。第一种根据权限的设置来展示,没有权限的不予展示。第二种是显示所有的功能和权限,点击时告知用户是否有此权限。
...... 一家之言,百家补漏 ,欢迎留言指正......
本文为作者独立观点,不代表鸟哥笔记立场,未经允许不得转载。
《鸟哥笔记版权及免责申明》 如对文章、图片、字体等版权有疑问,请点击 反馈举报
Powered by QINGMOB PTE. LTD. © 2010-2022 上海青墨信息科技有限公司 沪ICP备2021034055号-6
我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。
一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
1)反对宪法所确定的基本原则;
2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
5)煽动民族仇恨、民族歧视,破坏民族团结;
6)破坏国家宗教政策,宣扬邪教和封建迷信;
7)散布谣言,扰乱社会秩序,破坏社会稳定;
8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
12)危害未成年人身心健康的;
13)含有法律、行政法规禁止的其他内容;
2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
1)轻蔑:贬低、轻视他人及其劳动成果;
2)诽谤:捏造、散布虚假事实,损害他人名誉;
3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
6)谩骂:以不文明的语言对他人进行负面评价;
7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
8)威胁:许诺以不良的后果来迫使他人服从自己的意志;
3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
2)单个帐号多次发布包含垃圾广告的内容;
3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。
4. 色情低俗信息,主要表现为:
1)包含自己或他人性经验的细节描述或露骨的感受描述;
2)涉及色情段子、两性笑话的低俗内容;
3)配图、头图中包含庸俗或挑逗性图片的内容;
4)带有性暗示、性挑逗等易使人产生性联想;
5)展现血腥、惊悚、残忍等致人身心不适;
6)炒作绯闻、丑闻、劣迹等;
7)宣扬低俗、庸俗、媚俗内容。
5. 不实信息,主要表现为:
1)可能存在事实性错误或者造谣等内容;
2)存在事实夸大、伪造虚假经历等误导他人的内容;
3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。
6. 传播封建迷信,主要表现为:
1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
2)求推荐算命看相大师;
3)针对具体风水等问题进行求助或咨询;
4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;
7. 文章标题党,主要表现为:
1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
2)内容与标题之间存在严重不实或者原意扭曲;
3)使用夸张标题,内容与标题严重不符的。
8.「饭圈」乱象行为,主要表现为:
1)诱导未成年人应援集资、高额消费、投票打榜
2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序
9. 其他危害行为或内容,主要表现为:
1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
2)不当评述自然灾害、重大事故等灾难的;
3)美化、粉饰侵略战争行为的;
4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。
二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。
三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)