做過企業(yè)端或者后臺產(chǎn)品的童鞋，對權(quán)限設(shè)計不會陌生。權(quán)限設(shè)計是所有企業(yè)系統(tǒng)的基礎(chǔ)。

企業(yè)系統(tǒng)中所有的功能模塊都需要考慮到權(quán)限的控制。

權(quán)限管理一般涉及到兩個級別的管理，接口級別和數(shù)據(jù)級別。本篇文章介紹接口級別的權(quán)限設(shè)計。

接口級別的權(quán)限設(shè)計常用的是RBAC模型，RBAC 指的是 Role Based Access Control。即基于角色

的權(quán)限管理。那么什么是基于角色的權(quán)限管理呢？且看下圖：

用戶和角色掛鉤，角色和權(quán)限掛鉤。一個用戶和多個角色掛鉤，一個角色和多個權(quán)限掛鉤。

即用戶和角色之間是「多對多」的關(guān)系，角色和權(quán)限之間也是「多對多」的關(guān)系。

對應(yīng)到企用中的運營場景。比如售后客服團隊，基礎(chǔ)客服有「查看訂單的權(quán)限」，中級客服有「查看、取消訂單的權(quán)限」，

高級客服有「查看、取消、修改訂單的權(quán)限」。對應(yīng)的角色就可以設(shè)置為「基礎(chǔ)客服」「中級客服」「高級客服」。

對應(yīng)的權(quán)限就有「取消訂單」「查看訂單」「修改訂單」。對應(yīng)關(guān)系見下：

那么這么設(shè)計的好處是什么？為什么不直接用戶和權(quán)限掛鉤？需要設(shè)置角色呢？

設(shè)想這樣一個場景：

新增了一個「刪除訂單」的權(quán)限，只有「高級客服」才有，現(xiàn)在高級客服有

100 多個人，如果用戶和權(quán)限掛鉤需要修改一百次，但是采用 RBAC，只需要更改「高級客服」

這個角色的權(quán)限，這個角色下的客服都有了這個權(quán)限

那如果要刪除「修改訂單」權(quán)限呢？所有人都不能修改訂單。同理。

可見，基于 RBAC 模型，能夠支持更加復雜的權(quán)限控制。對于中等規(guī)模以及以上的企業(yè)來說，權(quán)限的控制非常嚴格，且變動性大，基于 RBAC 模型的權(quán)限設(shè)計，更能滿足企業(yè)運營的需要。