对于SaaS系统的权限,就是登录账号的功能权限和数据权限的合集。 剖沟机
功能权限是账号在平台上能看到哪些页面,能操作页面里面的哪些功能或按钮。数据权限就是这个账号能在系统中看到哪些数据,能对哪些数据做功能级的操作。
功能权限一般靠角和功能集进行关联,即RBAC模型。数据权限一般靠靠租户的组织架构来实现数据的隔离。 雕刻笔然后账号和角关联,获得功能权限,和组织架构关联,获得可管理的数据。下面对相应内容做详细介绍。
一、组织架构解决数据权限
在实际运营场景中,稍微大点的公司,组织架构相对比较复杂,层级比较多,每个层级节点要看到的数据要求是不一样的,所以要对不同层级节点的数据做隔离。
例如,某餐饮公司组织架构如下,则总部的CEO要看到下属分公司的所有数据,分公司的总经理要看到所有下属区域的数据,朝阳区区域经理要看到下属所有门店的数据,门店店长要看到店里的所有数据。
所以要在平台账号权限中引入组织架构,账号直接跟组织架构关联,在哪个层级看到哪个层级的数据,通过组织架构对多层级数据进行隔离。
总体来说,账号关联组织架构时,需要确定下来方位的数据精确到哪一节点,是本节点及下级节点数据,或只有本节点数据,或指定的某个下级节点数据,或是只能管理属于自己创建的数据。
特殊的也会存在跨层级查看数据的情况。有以下五种场景:
1)场景1:账号可看到本层级及下级数据。
在创建账号时,要选择这个账号属于哪个层级,则就能看到当前层级及以下层级的所有数据。
如账号1可看到北京分公司及其下属节点的所有数据。
这种是比较常用的数据权限,同时账号不能看到上级组织结构节点的数据,如账号2属于朝阳区这个节点,则不能看到属于北京分公司的数据。有机纤维
联合签名2)场景2:账号只能看到本层级的数据。
数据权限更深层的需要细化出来这个账号能看到具体哪个级别的数据,如账号3是属于朝阳区,但他有可能只能看到属于朝阳区这一层的数据,下级节点的门店数据是看不到的。
3)场景3:账号只能看到下级某一节点的数据。
如售后人员的账号2,虽然是属于北京分公司,但只能负责朝阳区下面门店1和门店2的数据。
基于这种情况,需要在创建账号时,在关联组织架构,还要指定当前账号能看到这个节点下的哪些数据。
4)场景4,账号只能看到指定层级的指定数据。
每个组织架构的层级上会有一些属于当前级别某些账号特有的数据。
如商务合作的客户数据,属于当前组织架构的节点,同样属于某个商务人员独有,不会共享给其他招商人员。
如招商部的A员工的账号3,管理的客户信息是属于朝阳区的,同样也只属于账号3所属的A员工管理。
其他同级别的账号4所属的员工,则没有权限看到这些客户信息。但招商部的部门经理是要看到本部门的所有数据。
所以在创建账号时,还要指定这个账号是能看到本部门的数据还只能看到自己创建的数据。
5)场景5:存在管理不同级别其他节点数据。
例如账号5原本属于组织架构里的门店1,理论上只能管理门店1的数据,但如果门店4这种不在同一个上级节点的门店,希望帮忙分析售后问题,那账号5如何跨节点管理门店4的售后问题。
答案是门店4的管理者可以指定某些数据或节点的所有数据共享给门店1的账号5管理。
数据共享不限制组织结构的上下级和同级关系。
粉尘收集
二、角解决功能权限(RBAC模型)
1. 基础角权限模型(RBAC0)
为什么要靠角来解决功能权限,而不是使用账号跟功能直接关联?是因为平台页面多,页面内的功能也非常多的情况下,如果靠账号直接跟页面和功能关联,所有账号都操作起来比较繁琐。
引入角,把角和权限关联,这样有相同权限的人直接跟角关联,进而获得角所对应的功能权限。提高的操作的便利性。角本身就是功能的合集。
同一个账号,可以有多个角,则可获得多个角的并集的权限。如账号4关联员工和助理两个角,则账号4可获得员工角对应的页面3、页面4和助理角对应的页面5的功能权限。
2. 角搭建组织架构(RBAC1)
