网站内容管理系统后台 设计(后台需求多样化，不能一一兼顾，只能蜻蜓点水，尽量深入浅出 )

　　网站内容管理系统后台 设计(后台需求多样化，不能一一兼顾，只能蜻蜓点水，尽量深入浅出

)

　　全文共2210字，5张图片。阅读需要6分钟。

　　- - / 开始 / - -

　　我在人人都是产品经理的网站上蛰伏了4年，学习了4年。由于我最近的工作方向偏向后台，所以在设计后台的时候经常会查阅后台的相关资料，但是关于后台文章等内容分享的太少了。

　　只是这段时间在适应，想尝试写一个关于背景的系列文章，希望和大家讨论分享，希望对大家有所帮助。

　　由于不同后端需求的多样化，不可能将所有需求都考虑在内。

　　一、权限管理系统定义

　　权限管理是几乎所有后台系统的重要组成部分。主要目的是控制整个后台管理系统的权限，目标是员工，避免权限控制不足或操作不当造成的风险问题。比如操作错误、数据泄露等问题。

　　其实权限管理的设计并不难。目前应用最广泛的是一个账号对应多个角色，每个角色对应对应的权限集（RBAC模型）。这个模型基本可以处理所有的问题，而通过角色，可以实现灵活多样的权限操作需求，下面我们来梳理一下上面提到的主要术语：账户、角色、权限。

　　1. 账户定义

　　每个想要进入系统的员工都必须有一个账号，而这个账号就是一把钥匙。

　　我们通过控制账户的权限来控制该员工的授权范围。

　　因此，需要提醒员工，不能轻易将账户密码提供给他人，否则遇到的问题由自己承担。

　　2. 角色定义

　　角色管理是确定角色拥有哪些权限的过程。它是一个集合的概念，由许多具有最少权限的粒子组成。

　　我们通过授予该角色权限然后将角色分配给帐户来实现帐户权限，因此它充当了桥梁。

　　引入角色的概念可以帮助我们灵活扩展，让一个账户可以拥有多个角色。

　　角色的命名最好根据职位来命名，比如市场部的普通员工、市场部的主管等。因为任何公司都有职位，所以都是有限的，容易理解的，市场部文员是市场部文员角色，方便我们在配置权限时判断，避免配置错误。

　　3. 权限定义

　　权限可以分为三种：页面权限、操作权限、数据权限。

　　页面权限

　　控制您可以看到和不可以看到的页面。

　　很多系统只实现了控制页面级别，实现起来比较简单。有的系统是这样设计的，但是比较老套，控制权限不精细。在页面上很难将权限划分到下一个级别。

　　操作权限

　　控制您可以在页面上操作的按钮。

　　扩展：当我们进入一个页面时，我们的目的无非就是在这个页面上进行增删改查。页面上对应的操作可能是：查询、删除、编辑、添加四个按钮。

　　可能你在某个页面，只能查询数据，不能修改数据。

　　数据权限

　　数据权限控制您可以查看哪些数据。例如，市场 A 中的人只能看到或修改 A 创建的数据，而无法看到或修改 B 中的数据。

　　延伸：我们一般通过部门来实现数据管控。每条记录都有一个创建者，每个创建者都属于一个部门。因此，部门越细，数据管控水平越细。有没有除了部门维度之外还有其他控制数据权限的好办法，可以提出来讨论。

　　哪些权限应该放在哪个页面，完全根据业务需要配置。你只需要列出控制权限的地方，交给开发者。

　　二、权限管理系统基本页面设计

　　1. 角色列表页面

　　要删除角色，您需要确定帐户是否与该角色关联。如果是，则不允许删除。如果不想使用或取消角色，可以将角色设置为无效状态，账户在获取角色时会先判断角色是否有效。

　　在方便性方面，可以提供批量添加角色到角色的功能。当有新员工加入时，尤其是同一岗位，设置权限的效率会大大提高。

　　为角色配置权限

　　2. 帐户列表页面

　　首先，我们必须有一个帐户列表，因为我们正在为帐户配置权限。可以对所有人进行查询或添加（为什么要添加，因为很多大公司有很多管理系统，而每个管理系统只有一部分人使用，所以每个人都不会显示在账户列表中，所以使用添加）。

　　这里需要注意的是，为了防止员工离职后出现问题，该账号是被禁用的。你可以通过人力资源系统。员工离职后，所有系统账户将自动禁用。

　　有许多系统提供了直接向帐户添加特定权限而不是使用角色的功能。如下图，本人不提倡。在给员工添加特定权限时，虽然操作更方便，但缺乏规范性，员工明明只有市场部的角色，实际上却有财务部的支付功能。这个页面上没有说明，时间长了会导致人员权限混乱。这种需求完全可以通过添加一个新角色来处理。

　　账户列表

　　将角色分配给帐户

　　3. 从权限中添加帐户

　　这种方法也不推荐。如果上面提到了这个表单，你可以直接给账户添加特定的权限。虽然操作方便，但影响了权限的标准化和可维护性。角色是一座桥梁。它将成为一座断桥，团结将被破坏。

　　部分原型页面截图，页面略粗，仅供参考。

　　三、权限分配

　　权限分配要合理。许多公司在为部门分配权限时非常随意。部门可以授予他们想要的任何权限。事实上，这也有隐患。

　　我们需要更深入地思考部门可以拥有什么权限，而不是它需要什么权限，而这部分往往被忽略。

　　四、总结

　　归根结底，我想强调一件事：如何从公司制度上注重权限管理？

　　即如何规范权限的分配，即那个部门的哪些员工需要哪些权限需要审批或者邮件通知才可以配置，哪些数据需要设置权限，哪些操作需要设置权限。这些权限管理过程就是权限。系统的核心，正是这些核心的东西在系统中无法体现。

　　前期的不慎行为，后期会变得麻烦，不仅影响业务效率，还会引发风险危机。

　　权限管理归根结底是为了风险控制。如果权限的风控意识做的不好，那么权限体系做的再好也是徒劳的。

　　- - / 结尾 / - -

　　本文由@Orange Island Head原创 发表于人人都是产品经理。未经许可禁止复制