同等权限下多任职之间数据权限的实例

编辑导语：同等权限下多任职之间的数据权限应该如何解决呢？本文作者提出了两种解决方法，并且介绍了权限系统、权限分类和角色管理，希望看后能够对你有所启发。

有两种解决方案：

第一种实现难度低，不用跟组织架构挂钩，相对简单，但是只适用于小公司团队；第二种与组织架构相关，相对复杂。

1. 第一种：将数据权限与功能权限区分开并与角色关联，数据权限可以将不同模块的数据拆分成不同层级颗粒大小的数据集，与功能权限一样，进行勾选选择即可；
2. 第二种：是通过组织架构的部门界定部门从属关系，通过岗位界定人员从属关系【关系到数据范围】，比如员工在A、B两个公司任职不同的岗位和角色，通过角色将组织信息带出，然后选择数据范围和功能权限，切换组织可以解决不同组织同角色，同权限不同数据范围的问题；

一、权限系统

当使用RBAC（Role Based Access Control）模型进行权限管理，相关概念包括权限，角色和用户。

角色与权限绑定，即用户的权限与其被赋予的角色相关。一个用户可以拥有多个角色，一个角色也可以被添加给多个用户，每个角色可以被赋予多个权限。

以下图所示的结构为例：用户1只拥有角色1的权限，即对资源1进行操作1；而由于用户3拥有3个角色全部的权限，因此该用户可以对资源1和资源2分别进行操作1和操作2。

角色与权限绑定唯一例外是当用户为某资源的创建者时，其对此资源的权限与该用户绑定，与角色无关。

例如：用户1拥有角色1，权限为可对资源1进行操作1与2，若该用户创建了资源2则拥有了对该资源的权限，而角色1并没有权限对资源2进行操作。

除非在权限管理中进行修改， 用户最终的权限为其所有拥有角色权限与资源创建者权限的并集。

二、权限分类

权限可分为资源权限、操作权限和数据权限三类，可通过角色管理实现对资源权限和操作权限的分配与管理，数据权限则由数据行级权限管理实现。

1. 资源权限：资源包括菜单级别的权限，如订单列表、收付款单表、库存管理表等；
2. 操作权限：操作权限包括对订单数据的新增、编辑、查看、删除等，对统计报表的新增、编辑、复制、查看、导出；
3. 数据权限：数据权限即行级权限控制，在同一个菜单列表中，数据权限不同的用户能够看到的数据也不一样，例如：小明只能看到小明自己的订单数据，东北地区的用户只能看到东北数据。

三、角色管理

例如可以将角色分成三类：

1. 系统角色

系统角色由系统给出，只存放于根目录。

系统角色包括：系统管理员、二级管理员、业务员、跟单员、经理、美妆等，各角色的权限如下表所示的进行设置。

2. 系统管理员将用户赋予二级管理员

1）方法一

在用户管理页面，添加用户、编辑用户的操作中，赋予二级管理员，此时也可将一级角色美妆同时赋予。

2）方法二

在二级管理员界面，直接添加用户。

二级管理员的项目中心中可创建角色，添加用户和赋予权限，驾驶舱、邮件、抽取、分享和回收站等栏目下，二级管理员只能看到和自己相关的记录。

一级角色只能由项目管理员创建，该角色可对出现驾驶舱、报告、大屏、数据源4个模块有编辑权限，该角色可对用户赋予资源权限和操作权限。

一级角色列表在一级分类下，可存放于文件夹中。

3. 有数建议一级角色拥有以下权限

1）报告

• 公共文件夹的新增、导出、分享、定时邮件
• 私人文件夹的新增、导出、分享、定时邮件
• 某些文件夹或报告的查看、导出、复制、编辑、分享、定时邮件

2）大屏

• 编辑区的权限
• 全部文件夹的新增
• 某些文件夹或大屏的编辑

3）数据模型

• 数据模型的新增权限
• 某些文件夹或数据模型的查看\复制\编辑

4）数据连接

• 某些数据连接的查看，必须要有查看权限，获得数据连接的列表，才能新建自定义 SQL 和新建数据模型
• 某些数据连接的自定义SQL

4. 项目管理员创建一级角色

添加角色：点击角色管理页面的+按钮可添加角色，输入角色名称，选择角色类型为一级角色、添加描述及确认存储位。

本文由@山人小道 原创发布于人人都是产品经理，未经许可，禁止转载。

题图来自Unsplash，基于CC0协议