在《RBAC權(quán)限模型——理論篇》中我們?cè)敿?xì)介紹了RBAC模型是什么，這篇將以實(shí)戰(zhàn)案例描述RBAC在項(xiàng)目中的具體應(yīng)用。

一、權(quán)限構(gòu)成

常見的數(shù)據(jù)數(shù)據(jù)構(gòu)成一般有三類，分別是：

1. 頁面權(quán)限：頁面權(quán)限授權(quán)包含可查看頁面授權(quán)以及頁面可見字段授權(quán)，大多數(shù)情況下不需要頁面可見字段授權(quán)的配置，系統(tǒng)默認(rèn)所有字段可見。頁面權(quán)限主要控制用戶可以訪問哪些頁面以及頁面上的哪些部分，比如底部的導(dǎo)航欄哪些可以查看。
2. 應(yīng)用權(quán)限：應(yīng)用權(quán)限是指用戶是否有權(quán)使用系統(tǒng)中的某個(gè)應(yīng)用或模塊，比如電商的生意參謀、營銷推廣等子應(yīng)用是否有權(quán)訪問使用，或者是否需要額外收費(fèi)等等。
3. 數(shù)據(jù)權(quán)限：數(shù)據(jù)權(quán)限指得是用戶的數(shù)據(jù)讀寫權(quán)限，即用戶可以查看哪些數(shù)據(jù)，可以處理哪些數(shù)據(jù)。

數(shù)據(jù)權(quán)限分配可查看的數(shù)據(jù)權(quán)限和可操作的數(shù)據(jù)權(quán)限，大多數(shù)情況下只需要配置可查看的數(shù)據(jù)權(quán)限，可操作的數(shù)據(jù)權(quán)限需要對(duì)一些操作按鈕分配可操作的數(shù)據(jù)范圍。數(shù)據(jù)權(quán)限可以分為以下幾類：

• 本人：用戶只能查看本人所關(guān)聯(lián)的數(shù)據(jù)。
• 全部：用戶可查看所有數(shù)據(jù)。數(shù)據(jù)權(quán)限的設(shè)置通常與組織架構(gòu)相關(guān)，可以根據(jù)用戶在組織架構(gòu)中的位置來分配相應(yīng)的數(shù)據(jù)權(quán)限。

二、實(shí)戰(zhàn)案例分析

介紹了RBAC模型以及數(shù)據(jù)構(gòu)成之后，進(jìn)入本文的正題，下面這個(gè)APP如果是你負(fù)責(zé)這個(gè)產(chǎn)品，你會(huì)如何設(shè)計(jì)權(quán)限后臺(tái)進(jìn)行配置？

我們先對(duì)APP進(jìn)行研究與拆分，然后結(jié)合我們的目的來規(guī)劃后臺(tái)。在規(guī)劃之初你要問自己三個(gè)問題：我要給用戶看什么頁面？頁面上的數(shù)據(jù)范圍是什么？我要給用戶用什么應(yīng)用？

• 給看什么：目前APP結(jié)構(gòu)主要分為底欄（一級(jí)分類），以及數(shù)據(jù)里的頂欄（二級(jí)分類），所以我需要針對(duì)每個(gè)人配置頁面權(quán)限，通過權(quán)限控制用戶可以訪問哪些頁面，這里也做了組織架構(gòu)配置，沒有截圖展示，具體根據(jù)使用場(chǎng)景進(jìn)行設(shè)計(jì)。
• 數(shù)據(jù)范圍：因?yàn)楣窘巧^多，且每個(gè)人所管轄的區(qū)域范圍不同，所以我需要針對(duì)每個(gè)人進(jìn)行區(qū)域數(shù)據(jù)權(quán)限配置。
• 給用什么：在工作臺(tái)中，每個(gè)人的職能不同，所需要使用的應(yīng)用頻次也不同。所以我需要針對(duì)每個(gè)人配置應(yīng)用權(quán)限。

三、實(shí)戰(zhàn)案例（用戶組設(shè)計(jì)）

1. 用戶組設(shè)置

在理論篇中我們說到，如果您產(chǎn)品的組織架構(gòu)比較復(fù)雜，且后期不想通過每個(gè)人物逐一賦能角色話可以采取用戶組的方式進(jìn)行分類。

新建用戶組：名稱（必填），備注，關(guān)聯(lián)。具體根據(jù)產(chǎn)品情況進(jìn)行字段配置。這里設(shè)計(jì)了一個(gè)關(guān)聯(lián)功能。因?yàn)槲蚁Ｍ藛T組織架構(gòu)的入離調(diào)轉(zhuǎn)自動(dòng)同步到用戶組，不用手動(dòng)增刪改查。而且人為的工作方式不僅容易出錯(cuò)率最高且效率極低。

2. 用戶組列表頁

當(dāng)用戶組配置完成之后，我們進(jìn)入列表頁可以對(duì)用戶組進(jìn)行編輯、角色綁定以及刪除，值得一提的是這里的刪除我做了條件（當(dāng)用戶組內(nèi)有員工時(shí)不允許刪除），同樣當(dāng)員工有門店綁定時(shí)也不允許移除員工。這里員工配置做了三種方式：系統(tǒng)同步、手動(dòng)同步、手動(dòng)添加。

因?yàn)槲覀児镜臄?shù)據(jù)權(quán)限是到人的，我相信很多餐飲公司的權(quán)限也是如此，所以我將數(shù)據(jù)權(quán)限（配置門店）并沒有放到角色配置里，而是單獨(dú)拿出來放在了列表，這樣就可以針對(duì)某個(gè)人進(jìn)行具體的權(quán)限配置。

看到這里你可能要問，那每次添加一個(gè)人我都要配置一次數(shù)據(jù)權(quán)限，這部分的運(yùn)維工作量豈不是很大？確實(shí)如此，但是我們公司的門店維護(hù)是由各個(gè)分公司或者部門進(jìn)行獨(dú)自維護(hù)，同時(shí)有可視化的調(diào)整工具，之后數(shù)據(jù)同步到列表，可能會(huì)有個(gè)別不在配置場(chǎng)景里的才需要人工處理。所以這部分的工作量可以忽略，畢竟公司的不同階段，對(duì)于人效的提高上也會(huì)有不同的處理方式。

3. 用戶組配置門店（數(shù)據(jù)權(quán)限）

這部分我設(shè)計(jì)了兩種配置方式，按區(qū)域和按門店。

• 按區(qū)域：主要是針對(duì)每個(gè)人所負(fù)責(zé)的區(qū)域進(jìn)行劃分，與公司業(yè)務(wù)對(duì)齊，保持統(tǒng)一的用戶習(xí)慣。
• 按門店：更加靈活的配置方案，比如我們的大KA，會(huì)有專門的客服進(jìn)行一對(duì)一處理，那么我搜索加盟商的名字將他所關(guān)聯(lián)的門店配置給客服就可以。當(dāng)然也有很多其他的場(chǎng)景，作為一個(gè)兜底方案也是不錯(cuò)的選擇。

四、實(shí)戰(zhàn)案例（角色設(shè)計(jì)）

1. 角色設(shè)置

新建角色：名稱（必填），備注。具體根據(jù)產(chǎn)品情況進(jìn)行字段配置。

角色設(shè)計(jì)比較常規(guī)，新建之后，對(duì)應(yīng)的角色有2個(gè)權(quán)限配置，分別是賬號(hào)權(quán)限和頁面權(quán)限。

• 頁面權(quán)限：這里我將頁面權(quán)限與功能權(quán)限做了整合，所以在一個(gè)頁面上完成即可。
• 賬號(hào)權(quán)限：因?yàn)檫@套權(quán)限系統(tǒng)，后期肯呢個(gè)會(huì)整合其他產(chǎn)品進(jìn)行權(quán)限統(tǒng)一管理，所以這里我單獨(dú)設(shè)計(jì)了一個(gè)賬號(hào)權(quán)限列表。同時(shí)可以針對(duì)每個(gè)角色進(jìn)行登錄控制。

2. 角色關(guān)聯(lián)

設(shè)置好角色之后，我們將用戶組與角色相關(guān)聯(lián)即可。這樣我們用戶組內(nèi)的所有員工都將與該角色進(jìn)行綁定，從而達(dá)到APP訪問后的需求。

五、總結(jié)

通過實(shí)例我們已經(jīng)詳細(xì)了解到，我們新建用戶組之后，通過系統(tǒng)自動(dòng)添加員工。后期只要調(diào)整角色的權(quán)限關(guān)聯(lián)用戶組即可滿足業(yè)務(wù)的頁面、應(yīng)用、數(shù)據(jù)相關(guān)的權(quán)限分配。

因?yàn)槊總€(gè)公司的業(yè)務(wù)與系統(tǒng)都是唯一的，案例只能作為產(chǎn)品設(shè)計(jì)的參考，具體的設(shè)計(jì)方案應(yīng)該結(jié)合公司現(xiàn)狀與需求才是。大家看完文章之后要是有不同的想法，歡迎一起交流共同成長。

相關(guān)閱讀：

RBAC權(quán)限模型——理論篇：http://www.codemsi.com/share/5944487.html