許可權系統:一文搞懂功能許可權、資料許可權

架构师汤师爷發表於2024-11-10

大家好,我是湯師爺~

在許可權系統中,許可權通常分為兩大類:功能許可權和資料許可權。這兩種許可權相輔相成,共同決定了使用者在系統中可以執行哪些操作、訪問哪些資訊。

功能許可權

1、功能許可權是什麼

當登入某個系統時,為什麼有些功能按鈕是灰色的,而有些頁面甚至完全不可見?這正是功能許可權在背後發揮作用。

功能許可權決定了使用者在系統中能使用哪些功能模組、訪問哪些頁面以及執行哪些具體操作。

舉個例子,線上商城的運營人員通常需要管理商品、處理訂單和策劃活動。因此,他們需要擁有商品管理、訂單管理和活動管理模組的許可權。當運營人員登入系統時,可以看到這些模組,並進行新增、修改、刪除等操作。

而財務人員則主要關注資金流轉、財務報表等內容。他們只能訪問財務管理模組,對商品、訂單和活動模組則沒有許可權。

功能許可權的分配通常依據員工的崗位職責和工作需求。合理的功能許可權設定不僅能防止因誤操作或越權操作帶來的風險,還能讓員工專注於本職工作,提升效率。

2、功能許可權的分類

功能許可權可以按操作的粒度從粗到細分為四個層級:模組、頁面、按鈕和欄位。這種分層管理讓許可權分配更加靈活精確。

1)模組許可權

模組許可權控制使用者對業務功能板塊的訪問。例如,運營人員被賦予“商品管理”模組許可權後,就能訪問商品列表頁面、檢視商品詳情,並執行新增或刪除商品等操作。

2)頁面許可權

頁面許可權是對具體功能頁面的訪問限制。例如,擁有“商品列表”頁面許可權的使用者可以檢視商品列表並執行頁面上的所有操作(如新增、刪除商品)。

3)按鈕許可權

按鈕許可權更為精細,直接控制具體操作按鈕。例如,某使用者可能在“商品詳情”頁面上擁有“新增商品”按鈕許可權,但沒有“刪除商品”按鈕許可權。

4)欄位許可權

欄位許可權是最細粒度的許可權管理。例如,在“商品詳情”頁面中,普通使用者可能只能檢視“商品價格”欄位,而管理員則可以編輯該欄位或匯出相關資料。

功能許可權的分層結構(模組、頁面、按鈕、欄位)讓企業能夠靈活分配許可權,既保障了系統的安全性,又提升了員工的工作效率。透過合理配置功能許可權,企業不僅能避免越權風險,還能最佳化員工的使用體驗,讓每個人專注於自己的職責範圍。

資料許可權

1. 資料許可權是什麼

為什麼同一系統中的兩名使用者,功能許可權相同,但看到的資料範圍不同?

這可能是他們的“資料許可權”不同造成的。資料許可權是在功能許可權的基礎上,進一步限制使用者可以訪問的資料範圍,確保資料使用的精確性與安全性。

例如,一個連鎖商家擁有多家門店。上海店的店長 A 和杭州店的店長 B 都擁有 POS 管理許可權,但由於資料許可權的限制,店長 A 只能訪問上海店的資料,而店長 B 則只能訪問杭州店的資料。這種精細化的許可權管理不僅提升了資料安全性,也符合組織管理的實際需求。

資料許可權的設定通常與組織架構、崗位級別、業務規則等相關。例如,銷售人員只能檢視自己的業績,避免因業績比較引發內部紛爭,而部門領導則可以檢視整個部門的資料,便於管理和決策。

透過靈活分配資料許可權,企業能夠有效減少資料洩露風險,同時為管理者提供全域性視角,幫助最佳化業務決策。

2. 資料許可權的粒度

資料許可權的粒度決定了使用者可以訪問資料的範圍。這種粒度通常基於地域、部門、門店、專案或客戶等級等維度進行劃分。合理的粒度設定可以在滿足業務需求的同時,確保資料安全。

以連鎖商家為例,如圖8-4所示,企業通常按照管理層級劃分資料許可權範圍:

  • 門店級:店長 A 被授權管理門店 A,他只能檢視門店 A 的業務資料(如訂單、採購單、出入庫單等)。
  • 區域級:運營經理 B 被授權管理區域 A,他能夠檢視區域 A 下所有門店的資料,包括後續新增的門店。
  • 分公司級:總經理 C 被授權管理分公司 A,他可以訪問分公司 A 下所有門店的資料。
  • 總部級:總部管理員擁有全域性許可權,可檢視所有門店的業務資料。

在這種分層架構中,門店是基礎資料授權單元,而區域、分公司和總部則形成逐級擴充套件的許可權集合。這種精細的粒度劃分既確保了敏感資訊的安全,又滿足了複雜業務場景的管理需求。

資料許可權透過精細化的範圍控制,不僅能減少資訊洩露風險,還能提升管理者的全域性視角,最佳化企業的運營效率。

本文已收錄於,我的技術網站:tangshiye.cn 裡面有,演算法Leetcode詳解,面試八股文、BAT面試真題、簡歷模版、架構設計,等經驗分享。

相關文章