网站内容管理系统后台 设计( 后台设计中权限管理的相关知识，你知道吗？ )

　　网站内容管理系统后台 设计(

后台设计中权限管理的相关知识，你知道吗？

)

　　作者分享了后台设计中权限管理的相关知识，希望对您的产品工作有所帮助。

　　网站上记，大家都是4年的产品经理，学了4年。因为我最近的工作方向偏向于后台，所以在设计后台的时候经常会参考后台信息，但是关于后台文章等内容的分享太少了。正好在这段时间里进行了调整。想尝试写一个关于backend文章的系列，希望和大家一起讨论和分享，希望对大家有所帮助，由于后端需求不同，多样性不能一一考虑，但只是一点点的关注，尽量通俗的解释一下。

　　权限管理系统定义

　　权限管理是几乎所有后端系统的重要组成部分。主要目的是控制整个后台管理系统的权限，目标是员工，避免权限控制缺失或操作不当。风险问题，如操作失误、数据泄露等问题。其实权限管理的设计并不难。目前最广泛的是一个账号对应多个角色，每个角色对应一个对应的权限集（RBAC模型）。这个模型基本可以处理所有问题，并且通过角色来实现灵活多样的权限操作需求，我们梳理一下上面提到的主要术语：账号、角色、权限。

　　帐户定义

　　每一个想要进入系统的员工肯定都会有一个账号，这个账号就是一把钥匙。我们通过控制账户拥有的权限来控制这个员工的授权范围。因此，需要提醒员工不能轻易将帐号密码提供给他人，否则所遇到的问题由自己承担。

　　角色定义

　　角色管理是确定角色拥有哪些权限的过程。它是一个集合的概念，由许多最低特权的粒子组成。我们给这个角色赋予权限，然后给账号赋予角色，从而实现账号权限，所以它承担了桥梁的角色。引入角色的概念可以帮助我们灵活扩展，让一个账号可以有多个角色。

　　角色的命名最好根据职位来命名，比如营销部的普通员工、营销部的主管等。因为任何企业都有职位，数量有限，而且通俗易懂，营销文员就是营销文员角色，方便我们在配置权限时判断，避免配置错误。

　　权限定义

　　权限分为页面权限、操作权限和数据权限三种。

　　页面权限控制您可以看到哪些页面以及您无法看到哪些页面。很多系统只达到了页面控制的级别。实现起来比较简单。有些系统会这样设计，但是比较老套，控制权限。如果不细化，就很难在页面上将权限划分到下一层。

　　操作权限控制您可以在页面上操作哪些按钮。 （扩展：当我们进入一个页面时，我们的目的无非就是在这个页面上添加、删除、修改、查看。页面上对应的操作可能是：查询、删除、编辑、添加四个按钮）也许你是在某个页面上，只能查询数据，不能修改数据。

　　数据权限是控制您可以看到的数据。例如，市场A部门的人只能看到或修改A部分创建的数据，而不能看到或修改B部分的数据（扩展：数据控制我们一般通过部门来做。每条记录都有一个创建者，每个创建者都属于某个部门，所以部门越细，对数据的控制级别就越精细。 ，你可以请他们讨论）。

　　哪个权限应该放在哪个页面完全根据业务需要配置。您只需要列出开发控制权限的地方即可。

　　权限管理系统的基本页面设计是在角色列表页面删除一个角色。需要确定一个帐户是否与此角色相关联。如果有关联，则不允许删除。如果您不想使用该角色或取消该角色，您可以将该角色设置为无效状态。当账户获得角色时，首先会判断角色是否有效。为方便起见，可以提供批量给角色添加账号的功能。新员工入职后，尤其是同一个岗位，权限设置效率会大大提高。

　　配置角色权限

　　账户列表页面 首先，我们必须有一个账户列表，因为我们正在为账户配置权限。可以查询或添加到所有人中（为什么要添加，因为很多大公司有很多管理系统，每个管理系统只有一部分人使用，所以不会在账户列表中显示每个人，所以使用添加）。这里需要注意的是账户的禁用，用于防止员工离职后出现问题。你可以通过人事系统。员工辞职后，所有系统账号将自动关闭。有很多系统提供了直接为账户添加特定权限的功能，而不是通过角色。如下图所示，我不推荐。在给员工添加特定权限时，虽然操作更方便，但缺乏标准化。 ，一个员工明明只有市场部的角色，实际上却有财务部的支付功能。这个页面上没有说明，时间的积累会造*敏*感*词*员权限的混乱。这种需求可以通过添加角色来处理。

　　帐户列表

　　为帐户配置角色

　　从权限添加帐户

　　也不推荐这种方法。如果上面提到了这种形式，直接给账户添加特定的权限。虽然提高了操作的便利性，但影响了权限的标准化和可维护性。桥会断桥，团结会被破坏。

　　截取的原型页面部分，页面有点粗糙，仅供参考。

　　权限分配

　　权限分配要合理。许多公司随意分配部门权限。他们可以授予部门想要的任何权限。事实上，这里面隐藏着隐患。我们需要更深入地考虑部门可以拥有哪些权限。这一项往往被忽略，而不是需要什么权限。

　　总结

　　归根结底，我想强调一件事，如何从公司系统上注意权限的管理，也就是如何规范权限的分配，也就是那个部门的哪些员工需要哪些在他们可以提供帮助之前，需要通过电子邮件批准或通知权限。配置，还有哪些数据设置权限，哪些操作设置权限，这些权限管理流程是权限系统的核心，也正是这些核心的东西，在系统中是无法体现的。前期的不慎，后期会成为麻烦，不仅影响业务效率，还会导致风险危机。权限管理归根结底是为了风险控制。如果权限的风控意识做不好，再好的权限体系也是白搭。

　　本文由@橘子洲头原创发表，人人网是产品经理。未经许可禁止转载。

　　标题图片来自PEXELS，基于CC0协议

　　奖励作者，鼓励他努力！

　　欣赏

　　6 人获得奖励