编辑导语：任何系统/产物搭建时，更先思量的都应该是权限打点模块，并且权限打点模块的清晰、不变是平台产物康健成长的基石，权限打点焦点思量的问题是用户与权限的干系。本文作者对三种差异权限打点的版本展开了梳理阐明，与各人分享。

01 超简版本-用户/权限模子

用户直接与权限映射，这种设计的优势在于简捷直观，适适用户数量不多，成果较为简朴的系统，它的劣势也长短常的明明当用户量增多时，维护本钱较高，可扩展性差。

系统页面Demo：

02 进阶版本-用户/脚色/权限模子

若系统用户和成果增多，为每一个用户匹配单独的权限，会变得很是的繁琐，因此权限分门别类，形成“权限包”。从用户的角度，将用户分类，同一类用户牢靠为沟通的脚色，赋予沟通的权限，会让操纵变得简朴许多。

系统页面Demo：

03 层级版本-组织/用户/脚色/权限模子

对付打点性靠山，往往人员是职级区分的，好比用户王五为销售组长，其组员赵六和孙七，王五需要看到赵六和孙七的销售额数据和可以举办赵六和孙七的所有操纵，而赵六仅能看到本身的销售额数据，举办和本身相关的操纵。

这个事例中引入了两个新的观念，一是用户的权限可以细分为成果权限和数据范畴权限，二是数据范畴和成果权限都有了担任的层级观念。

所谓成果权限各人较量好领略，好比可否看到某个页面，可否点击某个按钮。而数据权限略抽象些，好比在业绩报表模块，从成果权限角度，可以抉择用户可否打开这个报表页面，可是差异用户进来看到差异的数据（王五需要看到赵六和孙七的销售额数据，而赵六仅能看到本身的销售额数据，看不到孙七的），则是由数据范畴来节制的。

1. 数据范畴的担任

我们可以将用户举办分级打点，好比成立多层级的组织架构树，将差异用户安排于组织架构的差异根节点上，来实现多层级用户的成立和打点。

1）假如用户的层级假如较量简朴（不多于三级），可以将层级干系融入到脚色之中。好比用户分为三级：打点员-组长-组员，打点员能看到全部的数据范畴和拥有全部的成果权限，而组长能查察组员的数据范畴和拥有部门成果权限（好比无法编辑用户），而组员的数据范畴仅仅为本身认真的数据和拥有部门成果权限。

我们可以在组长这个脚色下，答允其绑定组员，针对差异的脚色配置差异的数据范畴读取 *** ，打点员可以读取全部数据范畴，组长需要读取其组员的，组员只能读取本身的。各人有乐趣可以去相识下RBAC0/1模子

2）而对付用户层级较多的环境，发起回收多层级的组织架构的打点模式，先成立公司的组织部分，再将人置于组织架构树的差异节点之下。以用户在组织节点的位置，以及是否为某个节点组织的认真人，来确定其数据范畴。

2. 成果权限的担任

一般是将脚色举办分级，有了所谓的脚色树的观念

由此，我们就获得了自由度更高可是逻辑更巨大的权限打点

涉及到组织架构树和脚色树，需要思量到的场景更多，这些细节要按照实际的业务场景来拟定方案。好比：

组织有创立息争散的时间，员工也存在转岗换组织部分的环境，因此要思量引入时间轴的观念。增加许多的校验逻辑，好比需要增加员工入职、去职时间，且员工在该部分任职的时间不能早于部分创立的时间等等

同一员工可否兼岗，答允在多个组织下存在