数据权限设计思路（摘抄）

产品经理在工作中还需要知道一个：用户权限设计能力。权限设计理念贯穿于后台产品、以及用户前端产品。

权限能力包括两类：数据权限、系统操作权限

有的人会好奇，为什么前端产品会有有权限管理的要求？接下来我将以角色、权限、以及RABC权限设计方法来概述权限设计、数据权限设计2个操作。

了解权限系统前，首先要定义角色，角色的分类如下

最高权限角色

超级管理员，这个角色一般为平台创建者。可以拥有最高权限，可分配所有的系统权限到其他用户，一般是把最高权限设计还会映射一个超级管理员作为副管理，方便删除、编辑人员

副管理员角色

副超级管理员，仅次于最高权限，可以分配自己权限下的以外权限。显然在他之上就是超级管理员权限

部分权限所有者角色

是指的是在副管理员下，有子权限的用户。比如在副管理员分层下的权限

特约用户角色

只是定向权限开通，同事这样的用户有大量的。比如PMTalk产品经理社区的签约作者

付费用户角色

付费用户权限在针对产品生命周期早期是与免费直接区分，随着付费用户精细化运营打造用户分层，比如QQ会员的超级会员、普通会员等

角色之间的关系如下，可以看见在超级管理员角色下以树状结构分布到子角色。

▲   角色之间关系  

基于角色权限控制的RABC权限思想

依次为理论的角色设计模型关系图

▲   RABC角色权限  

上图是基于用户的会话集合归位角色再分配权限。角色有操作和控制对象的权利，在基础上将用户权限系统氛围：用户管理、角色管理、权限管理。

实际上用户管理在系统早期是可以满足权限使用，但随着系统用户、公司扩张逐渐增多，可能用户会有因为部门的职责区别，造成了部门下的同用户权限是一样的。

因此产品经理务必要在用户管理上增加部门管理对角色区分。

▲   部门管理  

将部门架构的编辑、添加、管理都以系统化的方式管理。

看到部门之间的流转关系，还可以知道部门下有什么基础权限。比如运营部门肯定会涉及到公众号管理、客服号管理，所以在以下部门的员工都要求设置。

同个部门中存在多个角色，比 如上有运营总监、副总监、组长、用户，因此权限要给到每个部门负责人进行编辑、删除、添加。

让权限管理者降低了日常运营权限工作量，将权限分配能力分配给了其他成员。

▲   网上来自部门角色权限管理的配置图  

用户管理，给与用户授权角色

最普遍的做法是设计用户名单列表，针对用户信息进行编辑。

用户管理列表如上，可以操作用户属于封禁状态与否、查看用户先有状态。

每个角色下的权限设置，可以编辑权限、和删除权限。以及批量同意权限

设置好角色后，还可以在角色下查看已经开通的用户名单，对用户名单进行管理。

用户名单进行删除、添加。同时当前页面需要下可以展示多少用户、是否需要分页也要注意明确。

2.添加/创建用户

为系统添加新的管理人员，增加权限。增加手机号、邮箱、用户名称，如果企业使用了OA系统，可以和OA系统进行关联。

比如现在的企业微信、钉钉都是支持开放接口，快速同步员工信息。

3.创建添加账户管理流程

系统建设好后，接下来就是规范运营了。以账户开通来说要建立账户开通权限流程规范，比如下图是某个公司开通运营系统管理员权限的流程

▲   系统权限创建流程

上图“选择字段”可以理解为权限下的子权限。若系统不复杂可以不用在早起权限设计上增加子权限颗粒度。

我们需要先设置角色，给新账号关联对应的角色，如果账号有特殊权限或者相关字段的权限，再单独设置相关字段。

最后基于RABC角色权限系统设置，产品经理可以借鉴的一个思考脑图案例

完成权限设计后，要搭建权限表单。快速罗列各个角色下的权限通道

▲   

数据权限的设计

操作权限是比较容易做的，但数据权限则比较难了。甚至许多互联网公司都没有考虑数据权限，只要达到不同人员使用的功能不同即可。

数据权限可以控制组织、可以控制数据域（比如，10个门店，有的人能看到1个门店的数据，有的人能看到10个门店的数据）

做个比喻，功能权限就像是容器，觉得了你有什么功能，数据权限就像水，决定了你容器内放的是什么。功能权限和数据权限是相互独立的。

数据权限是指对系统用户进行数据资源的可见性、以及控制性。直白说：“复合条件的用户才能查看和操作对应数据的权限”

比如公司老板需要看到公司的营收、利润、用户增长数据

公司运营总监需要看到互联网产品业务营收

公司公司销售要看实物销售产品的以后

在数据权限设计下，要定义清楚规则元

名词定义：规则元。在本文是指单个独立的数据规则定义，不同用户对规则元可设置具体的规则过滤值，该值用作数据查询时的筛选条件。

规则元配置：规则元名称的配置。一个表中哪些字段可以进行规则设置，以及规则元名称如何与表字段关联。

权限管理，最细致的权限管理有 用户，用户组，角色，权限，功能。根据不同的需求适当选择，如 用户量过大，每个人都授权和麻烦，就引入用户组，对用户组赋予权限。功能上也根据业务不同做适当的扩展。由于如用户权限之前存在多对多关系，需要引入中间表。

本系统设计如下：

数据量很小，功能也不复杂，所以只有用户，角色，权限（功能）及产生的中间表。

表中的数据都是提前填的，用户登陆，查ermroleuser表，获取角色，查ermrolefunction表，获取功能，再查ermfunction表，返回该用户的功能的中文，在页面上展示。

功能权限详细设计请参考，本项目也是受此启发：

http://blog.csdn.net/painsonline/article/details/7183613/

需求：给一个原来没有权限的数据配置系统加上登录，权限功能，不同角色查同一张表返回结果不同。

思路：所谓数据权限，关注点在于实体属性值、条件、允许值，用户登录后，查询该用户的查询条件，根据条件获取数据即可。详细表结构设计可以参考： https://zhuanlan.zhihu.com/p/31339794

具体介绍一下每个字段含义：

（1）主键 id；

（2）acl_id 映射权限点表主键，代表每行记录是针对哪个权限点的；

（3）status 代表当前这条配置是否有效，方便临时激活与禁用；

（4）param 代表需要校验的参数名，允许一个请求有多个参数参与数据校验；如果参数复杂，比如包含对象，定义的参数可能为a.b.c 这种多级的形式，建议不要太复杂

（5）operation 代表数据拦截的规则，使用数字代表是等于、大于、小于、大于等于、小于等于、包含、介于之间等，可以根据自己需要增加或减少支持的拦截规则

（6）value1 和 value2 用来和param、operation组成一个关系表达式，比如：1<=a<2

next_param_op 字段根据需要使用，如果一个权限点支持多条数据规则时，连接两个规则之间的操作，|| 还是 &&

（7）seq 字段用于某个权限点包含多条数据权限规则时的顺序

假设有这么一条数据，那么他的含义是：id为1（acl_id）的权限点，配置了一条有效（status=1）的数据规则，规则是：传入参数id（param）的值要大于（operation）10（value1）

这种设计很细致了，当然我的项目没有那么复杂，所以最终没有采用这个。

http://www.cnblogs.com/jeffwoot/archive/2008/12/23/1359591.html 讲述了数据权限设计的演化过程。

本系统跟权限相关的表结构如下：

二者共同构建出应用系统的权限模型，接下来本文详细描述下列权限的设计理念。

column_permission：

column_handler ：

本文着重描写列权限设计的思想，具体祥设参考

通用数据权限设计——列权限（二）

1、首先在oracle数据库创建教学管理系统需，要用到的数据表如下。

2、上述中数据表的其他信息创建。（departments表、class表、students表、course表）。

3、步骤一中数据表的其他信息创建。（teacher表、teach表、score表）。

4、然后对创建的数据表按要求输入数据值。

5、最后按照上述要求继续用插入语句添加数据值。

6、查询学生信息表中学生的学号、姓名、性别、出生日期、班级编码，并以汉字标题显示字段名。就完成了。

建议通过phpMyAdmin

来设置数据库用户的权限。phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。

一、首先您需要在服务器上安装配置

phpMyAdmin。

安装比较复杂，详见http://faq.comsenz.com/viewnews-484

二、创建用户（如之前已经创建好用户，可以省略这一步）

点击“添加新用户”这个连接，添加一个新的数据库用户名；

三、权限设置

编辑刚刚创建的用户的权限（如下图所示）

四、重新加载授权表

修改完用户权限以后需要回到

phpMyAdmin

的首页，重新加载一下授权（如下图）即可。

这是最简单的结构，用户关联角色，角色关联模块，用角色去控制权限，增删改查什么的模块表呢，就是你要控制的东西，比菜单，根据登录人的角色，看有哪些模块，然后显示这些模块其他的模块隐藏。

如果需要复杂的东西，中间可以加别的东西，具体看你需求了。