一、是鑑權管理,
即權限判斷邏輯。
- 1. 最基本的權限管理就是菜單管理,用戶沒有權限的功能模塊在菜單節點上是不顯示的。(很多人以爲這就是權限管理!)
示例:
普通業務人員登錄系統後,是看不到【用戶管理】菜單的。
- 2. 功能權限管理,B/S系統的功能體現爲URL,所以功能權限管理主要是針對URL訪問的管理。(很多人都不清楚權限管理的對象是什麼?)
示例:
經過授權,部門經理可以查看【用戶管理】菜單,並查看部門用戶信息,但權限設計要求,該部門經理沒有添加用戶的權限。
所以在訪問【添加用戶】的功能(URL)時,應該有沒有授權的提示信息。
同時在【用戶管理】頁面上,【添加用戶】的按鈕應該灰色顯示,不能點擊。
- 3. 行級權限管理
示例:
論壇管理員,權限設計要求 A能管理論壇 【新聞版塊】,不能管理論壇 【技術交流】
此時的權限設計就應該根據論壇的相應ID來判斷權限信息。
- 4. 列級權限管理
示例:
業務權限設計要求,除銷售人員以外,其他用戶不能看到客戶的聯繫方式信息。
此時的權限設計要判斷相應的字段(列)是否可以顯示。
- 5. 組織機構/部門級數據權限管理
示例:
業務權限設計要求,銷售一部的人員只能看到本部門的銷售訂單,銷售二部的人員只能看到本部門的銷售訂單,但銷售經理可以同時看到
銷售一部和銷售二部的銷售訂單。
此時的權限設計就要根據銷售訂單數據本身的部門屬性來做判斷
- 6. 範圍型業務數據權限管理
示例:
大賣場銷售人員在下銷售訂單時,要選擇相應的產品所在倉庫信息。
業務權限設計要求,【國美】的銷售人員在選擇倉庫的下拉列表中不能看到【廣州倉庫】,而【大中電器】的銷售人員在選擇倉庫的下拉列表中不能看到【北京順義倉庫】
二、授權管理
即權限分配過程。以上的權限管理內容都要通過系統的授權功能來分配給具體的用戶,授權功能應該足夠靈活。
- 直接對用戶授權,直接分配到用戶的權限具有最優先級別。
- 對用戶所屬崗位授權,用戶所屬崗位信息可以看作是一個分組,和角色的作用一樣,但是每個用戶只能關聯一個崗位信息。
- 對用戶所屬角色授權,用戶所屬角色信息可以看作是一個權限分組,每個用戶可以關聯多個角色。
- 角色直接關聯具體的功能權限(URL),也可以關聯負權限,即此角色關聯的權限不能使用負權限功能。負權限具有優先級別。
- 分級授權,系統管理員可以將自己擁有的權限信息授權給其他用戶。即可以設置分級管理員和超級管理員。