rbac权限管理5张表_专题设计篇5——权限管理

最新推荐文章于 2024-08-02 10:17:00 发布

weixin_39934675

最新推荐文章于 2024-08-02 10:17:00 发布

阅读量4.3k

点赞数 2

文章标签： rbac权限管理5张表权限管理系统设计

从事B端设计，B端业务流程正常流转的保证、业务数据可访问性的安全保证，以及业务人员各司其职的保证。这些工作的保证都通过一个功能模块实现——权限管理系统。下面，就权限管理系统设计进行详解。

一、权限管理系统结构

权限系统通常基于RBAC（Role-Based Access Control）思想设计，表现为角色绑定权限，人员绑定角色。通过多对多关系快速授权管理，从而实现功能使用、数据访问的授权安全管理。用户&角色&权限结构如下图所示：

权限管理组织结构

通过权限的结构，我们知道涉及有用户管理，由用户管理很容易就可以联想到“账号体系”管理；权限通过角色分配保证业务流程的流转，而企业的业务流程与业务部门息息相关，故，很容易联想到“组织结构”管理；故而，与权限系统管理相关的还有另外两个模块：账号体系、组织架构。通常情况下，快速了解一个企业通过梳理其“组织架构”基本就可以掌握其战略模式、业务架构以及组织情况等概览。

B端产品的访问，用户都是通过账号体系获取登陆资格；产品业务数据都是通过账号体系匹配权限系统下的用户角色获取访问权限；产品结构访问，通过账号体系匹配权限系统下的角色对应的功能权限获取访问资格；

B端产品的设计，基本遵循以下路径：用户→角色→场景→业务流转

二、用户/角色

B端产品的角色基本可以分为几下几类：

组织结构简单、业务流程简单的企业系统：

一般2大类角色：管理员（admin）、业务人员（基于业务线或者组织架构划分具体业务角色）；

组织结构复杂、业务流程复杂平台类企业系统：

一般3大类角色：超级管理员、管理员、业务人员

超级管理员对应用业务本身并不了解，主要负责应用级别的管理、划分，一般这类角色是内置角色，由系统IT运维人员担任；管理员，熟悉应用业务的管理人员，主要负责业务功能、业务数据访问的权限分配，这类角色是自定义角色，一般由业务管理员/业务经理等人员担任；业务人员，具体业务执行角色，通过管理员管理及权限分配，业务人员只对自己的业务范畴负责。

角色管理结构

三、权限管理

用户管理，系统通过账号体系管理，账号体系基于账号生成规则会给每个系统用户生成全局唯一标识（唯一标识：账号ID），然后结合具有业务语义可识别字段属性管理用户账号（譬如：用户名、手机号、邮箱、工号等），该标识也会成为准入规则之一。常规准入权限通过以下几个维度管理：

准入权限一：登陆权限

B端系统通过账号体系分配的账号/密码登陆（账号来源：用户名、手机号、邮箱、工号）；
C端产品则有以下几种方式：
游客方式（无需账号/密码），该设计模式，对用户开放基本/有趣功能，该设计模式常见于拉新阶段；
账号/密码方式，正常访问渠道。通过通过结合权限系统，实现以下功能：实现千人千面的个性化匹配（基于行为数据的推荐算法匹配）基于用户体验的提升/转化提升；高级功能访问或者不同等级用户划分（譬如：钻石/黄金/普通会员等区分），基于盈利模式思考；
第三方登陆，譬如：手机号/微信/QQ/邮箱等第三方登陆；该设计模式常见于导流阶段；

准入权限二：二次验证

二次验证设计模式，主要出于数据访问安全层面考虑。常规验证维度体现为以下几方面：

访问终端

B端：中心端、用户端（服务端）；

C段：PC端、移动端（iOS/Android/Pad））

B端产品一般较复杂，基于业务配置、资源管理、服务共享等考虑，一般会划分为中心端（超级管理员、管理员访问），主要是资源/服务管理、分配；、用户端（业务人员访问），主要是基于分配生成的任务的管理，主要体现为业务流转、业务统计以及消息通知等。

终端形态主要体现为两大类：PC端、移动端。中心端肯定是PC端，用户端则根据业务复杂度、业务场景及用户体验因素，表现为不同形式：PC端、移动端、混合方式等；

访问设备

电脑（IP地址）、移动端（IP地址）；

通过登陆设备数量、设备IP限制登陆情况，主要是出于安全、性能以及盈利模式考虑。譬如，印象笔记，免费模式允许2台设备同时登陆；B端复杂业务系统，出于系统响应性能考虑，同一时间段内限制登陆用户数量，或者通过限制在线时间自动退出登陆等设计模式；有些企业出于保密管理条例，通过限制设备IP的方式限制登陆访问系统，通过内置IP，登陆的时候通过识别匹配设备IP识别是否准入；