前言：

市面上(shàng)可參考的(de)後台管理系統并不(bù)多，也(yě)無法參考競品的(de)後台，對于(yú)初出(chū)設計後台管理系統的(de)同學來(lái)說(shuō)，設計其中的(de)基礎功能，成爲(wéi / wèi)了(le／liǎo)一件困難的(de)事情。

做了(le／liǎo)三個(gè)後台管理系統，才慢慢熟悉了(le／liǎo)基礎架構和(hé / huò)必備功能模塊，于(yú)是(shì)梳理出(chū)來(lái)和(hé / huò)大(dà)家一起分享。本文中提到(dào)的(de)後台管理管理，僅适用于(yú)移動端（例如小程序/APP）的(de)管理，不(bù)适配大(dà)型saas平台。

後台管理系統（下文中統稱後台）中，比較核心的(de)模塊是(shì)權限模塊的(de)設計。我總結出(chū)一套通用方案，可供大(dà)家學習和(hé / huò)借鑒優化。

首先，要(yào / yāo)清楚一些名詞和(hé / huò)定義還有模型，才能更好地(dì / de)理解權限系統。

一、定義解釋與權限模型

• 用戶：指系統的(de)登錄用戶，可以(yǐ)理解爲(wéi / wèi)一系列的(de)操作人(rén)員，例如運營同事小張，銷售小王等；
• 角色：指用戶在(zài)系統中擔任的(de)角色，是(shì)系統賦予用戶的(de)頭銜，例如總經理、運營、測試等，多于(yú)崗位和(hé / huò)職責挂鈎，用于(yú)配置對應崗位的(de)各類權限；
• 權限：能夠訪問某接口或者做某操作的(de)授權資格；
• 菜單權限：指對應後台中的(de)一級菜單/二級菜單的(de)頁面訪問權限，比如訂單管理-拼團訂單列表；
• 操作權限：指後台對數據進行新增、删除、修改、查看、導出(chū)等操作的(de)權限；
• 數據權限：指該角色可以(yǐ)查看或者操作的(de)數據範圍，例如銷售人(rén)員錄入了(le／liǎo)客戶信息，那麽每個(gè)銷售隻能看到(dào)自己創建的(de)數據，不(bù)可以(yǐ)看到(dào)其他(tā)銷售的(de)數據，這(zhè)是(shì)一種常見的(de)數據權限範圍。

介紹完名詞的(de)定義，下面講解的(de)是(shì)RBAC權限模型。

RBAC權限模型：RBAC，即基于(yú)角色的(de)訪問控制（Role-Based Access Control），是(shì)優秀的(de)權限控制模型，主要(yào / yāo)通過角色和(hé / huò)權限建立管理，再賦予用戶不(bù)同的(de)角色，來(lái)實現權限控制的(de)目标。

利用該模型來(lái)配置權限，直接優點是(shì)角色的(de)數量比用戶的(de)數量更少，先把權限賦予角色，即可完成權限的(de)分配；再爲(wéi / wèi)用戶分配相應的(de)角色，即可直接獲得角色擁有的(de)權限。

交互設計的(de)福音，隻需定義有限的(de)角色擁有哪些菜單權限即可。

二、功能設計

進入簡單易懂的(de)看原型做功能環節，稍有經驗的(de)産品經理，看了(le／liǎo)界面就(jiù)應該知道(dào)這(zhè)個(gè)功能大(dà)概是(shì)怎麽設計了(le／liǎo)。此章節内容包括：賬号管理、角色權限管理、菜單管理。

1. 賬号管理

在(zài)我設計的(de)系統裏，融合的(de)組織架構管理。

組織架構管理就(jiù)不(bù)展開說(shuō)了(le／liǎo)，就(jiù)是(shì)對公司的(de)架構進行設置，此處會影響用戶的(de)數據權限，因爲(wéi / wèi)用戶的(de)數據權限是(shì)根據組織架構的(de)樹來(lái)進行匹配，這(zhè)個(gè)後文再詳細講解。

新建時(shí)，設置當前員工的(de)賬号，配置對應的(de)角色。因爲(wéi / wèi)我們設計了(le／liǎo)微信登錄和(hé / huò)公衆号推送消息給内部人(rén)員，所以(yǐ)需要(yào / yāo)綁定用戶的(de)微信号。

2. 菜單管理

菜單管理主要(yào / yāo)爲(wéi / wèi)前端人(rén)員使用，用于(yú)配置系統的(de)菜單，包括菜單的(de)層級，增删改等。此處不(bù)做過多解釋。如果涉及到(dào)設計此需求，提出(chū)對應需求即可，前端會根據具體情況進行研發。

3. 角色管理

角色管理中，包括的(de)整個(gè)權限模塊的(de)核心，菜單權限和(hé / huò)數據權限。

配置菜單權限，即爲(wéi / wèi)配置用戶的(de)頁面訪問權限和(hé / huò)操作權限。此處較好理解，在(zài)設計需求時(shí)，需要(yào / yāo)根據業務具體描述需要(yào / yāo)被權限控制的(de)功能。

我一般是(shì)要(yào / yāo)求研發将頁面中可以(yǐ)點擊的(de)按鈕都做權限控制，這(zhè)樣後續權限配置就(jiù)會比較靈活。

數據權限目前我遇到(dào)的(de)業務場景需要(yào / yāo)包括：僅查看本人(rén)數據/查看本人(rén)及以(yǐ)下人(rén)員數據/查看本部門數據/查看全部數據/自定義數據。

1）查看本人(rén)數據

顧名思義，就(jiù)是(shì)隻能查看自己創建的(de)數據。例如爲(wéi / wèi)了(le／liǎo)避免惡性競争，企業中員工王五和(hé / huò)肖六各自名下有不(bù)同的(de)客戶，所以(yǐ)他(tā)們在(zài)後台查詢客戶的(de)時(shí)候，都隻能查看自己名下的(de)客戶。

2）查看本人(rén)及以(yǐ)下數據

例如在(zài)組織架構中，你是(shì)一個(gè)小組的(de)組長張三（圖中左下角），下面有兩個(gè)小弟A和(hé / huò)B。那麽配置完畢（需要(yào / yāo)在(zài)組織架構中将你配置爲(wéi / wèi)負責人(rén)），你可以(yǐ)看到(dào)你的(de)數據加你小弟的(de)數據。

3）查看本部門數據

你繼續當張三，如果配置了(le／liǎo)查看本部門數據，則跟你平級的(de)小組數據，你都可以(yǐ)查看。例如你可以(yǐ)查看小組1和(hé / huò)小組2的(de)全部數據。

4）查看全部數據

一般是(shì)總經辦的(de)權限，老闆當然可以(yǐ)查看所有人(rén)的(de)數據啦。

5）自定義數據

可以(yǐ)配置某個(gè)角色，查看某個(gè)具體的(de)人(rén)員的(de)數據，這(zhè)個(gè)業務場景比較特殊，可能并不(bù)是(shì)很通用。例如，銷售助理，可以(yǐ)查看部分銷售人(rén)員的(de)數據，進行工作檢查。

三、其他(tā)權限

這(zhè)裏是(shì)指一些包含在(zài)業務中的(de)特殊權限，比如字段的(de)可見性。如果要(yào / yāo)控制權限到(dào)字段的(de)顆粒度，就(jiù)需要(yào / yāo)把每個(gè)功能頁面的(de)字段提煉出(chū)來(lái)，單獨配置給角色。還比如一些敏感數據的(de)可見性。

例如：某個(gè)用戶的(de)手機号對部分角色可見、部分角色加密。這(zhè)個(gè)部分要(yào / yāo)單獨設計在(zài)操作權限裏，單獨列出(chū)。