网站内容管理系统后台 设计( 后台设计中权限管理的相关知识，你知道吗？ )

　　网站内容管理系统后台 设计(

后台设计中权限管理的相关知识，你知道吗？

)

　　笔者分享了后台设计中权限管理的相关知识，希望对您的产品工作有所帮助。

　　我在大家都是产品经理的网站住了4年，学习了4年。由于我最近的工作偏向于背景，所以在设计背景的时候经常会参考背景资料，但是关于背景文章@等分享内容太少了。正好在这段时间里进行了调整。我想尝试写一系列关于背景的文章@>。希望与大家共同探讨和分享。我希望它对每个人都有好处。公司的后端需求是多元化的，不能一一考虑。

　　权限管理系统定义

　　权限管理是几乎所有后台系统的重要组成部分。主要目的是控制整个后台管理系统的权限，目标是员工，避免权限控制缺失或操作不当导致的风险问题。比如操作失误、数据泄露等问题。其实权限管理的设计并不难。目前最广泛的是一个账号对应多个角色，每个角色对应一个对应的权限集（RBAC模型）。这个模型基本可以处理所有问题，并且通过角色来实现灵活多样的权限操作需求，我们梳理一下上面提到的主要术语：账号、角色、权限。

　　账户定义

　　每一个想要进入系统的员工肯定都会有一个账号，而这个账号就是一把钥匙。我们通过控制账户拥有的权限来控制这个员工的授权范围。因此，需要提醒员工，帐号密码不能轻易提供给他人，否则遇到的问题由自己承担。

　　角色定义

　　角色管理是确定角色具有哪些权限的过程。它是一个集合的概念，由许多最低特权的粒子组成。我们给这个角色赋予权限，然后给账号赋予角色，从而实现账号权限，所以它承担了桥梁的角色。引入角色的概念可以帮助我们灵活扩展，让一个账号可以有多个角色。

　　角色的命名最好根据职位来定，比如市场部普通员工、市场部总监等。因为职位存在于任何公司，都是有限的，而且通俗易懂，营销文员的角色就是营销文员，方便我们在配置权限时判断，避免配置错误。

　　权限定义

　　权限分为三种：页面权限、操作权限和数据权限。

　　页面权限控制您可以看到的页面和您不能看到的页面。很多系统只达到了页面控制的级别。实现起来比较简单。有些系统会这样设计，但是比较老套，控制权限也没有细化。很难将权限划分到页面上的下一个级别。

　　操作权限控制您可以在页面上操作哪些按钮。（扩展：当我们进入一个页面时，我们的目的无非就是在这个页面上添加、删除、修改、查看。页面上对应的操作可能是：查询、删除、编辑、添加四个按钮）也许你是在某个页面上，只能查询数据，不能修改数据。

　　数据权限是控制你可以看到哪些数据。例如，市场部A的人只能看到或修改A部门创建的数据，而不能看到或修改B部门的数据（引申：我们一般通过部门控制数据来实现这一点，每条记录都有一个创建者，每个创建者都属于某个部门，所以部门越详细，数据的控制级别就会越精细。维度来控制数据权限，你可以请他们讨论）。

　　哪个权限放哪个页面完全根据业务需要配置，只需要列出控制权限的地方就可以开发了。

　　权限管理系统的基本页面设计是在角色列表页面删除一个角色。需要确定一个帐户是否与此角色相关联。如果有关联，则不允许删除。如果您不想使用该角色或取消该角色，您可以将该角色设置为无效状态。当账户获得角色时，首先会判断角色是否有效。为方便起见，可以提供批量给角色添加账号的功能。新员工入职时，尤其是同一职位，设置权限的效率会大大提高。

　　配置角色权限

　　账户列表页面 首先我们要有一个账户列表，因为我们是在为账户配置权限。可以查询或添加到所有人中（为什么要添加，因为很多大公司有很多管理系统，每个管理系统只有一部分人使用，所以不会在账户列表中显示每个人，所以使用添加）。这里需要注意的是账户的禁用，用于防止员工离职后出现问题。你可以通过人事系统。员工辞职后，所有系统账号将自动关闭。有很多系统提供了直接为账户添加特定权限的功能，而不是通过角色。如下图所示，我不推荐。向员工添加特定权限时，虽然操作更方便，但缺乏标准化。，一个员工明明只有市场部的角色，实际上却有财务部的支付功能。这个页面上没有说明，时间的积累会造*敏*感*词*员权限的混乱。这种需求可以通过添加角色来处理。

　　账户列表

　　为账户配置角色

　　从权限添加帐户

　　这种方法也不推荐。如果上面提到了这种形式，直接给账户添加特定的权限。虽然提高了操作的便利性，但影响了权限的标准化和可维护性。角色是桥梁，会变成断桥，破坏团结。

　　截取的原型页面部分，页面有点粗糙，仅供参考。

　　权限分配

　　权限的分配要合理。许多公司随意分配部门权限。他们可以授予部门想要的任何权限。事实上，这里面隐藏着隐患。我们需要更深入地思考部门可以拥有哪些权限而不是。什么权限，而这个经常被忽略。

　　总结

　　归根结底，我想强调一件事，如何从公司制度上注意权限的管理，也就是如何规范权限的分配。哪些数据需要设置权限，哪些操作需要设置权限，这些权限管理流程是权限系统的核心，而正是这些核心的东西在系统中是无法体现的。前期的不慎，后期会成为麻烦，不仅影响业务效率，还会导致风险危机。权限管理归根结底是为了风险控制。如果权限的风控意识做不好，再好的权限体系也是白搭。

　　本文由@橘子洲头原创发布，大家都是产品经理。未经许可禁止转载。

　　题图来自PEXELS，基于CC0协议

　　给作者一个奖励，鼓励他努力！

　　称赞

　　6人奖励