一文讀懂權限系統設計思路
在我們瀏覽網站時,總會有些地方需要解鎖“權限”。本文作者從什么是權限,為什么要設置這些權限出發,分析了如何設置權限系統。我們一起來閱讀一下吧!
一、何為權限?
在日常生活中,【鎖】是安在可開合的器物(如門、箱子、抽屜等)上,起封緘作用,要用鑰匙、密碼或其他特種工具或手段才能打開的器具。想要打開一道鎖,就必須擁有一把【key】。代入到線上場景,【鎖】就是一道道限制,這個【key】其實就是權限,即擁有key,就擁有了打開鎖的權限。
隨著線上化的普及,越來越多的工作都需要在線上完成,員工對于一些內部的操作系統的依賴性也就越來越強。一個公司內包含了多種角色,如銷售、運營、售前、財務、人力等,每個角色的工作內容不同,所以使用的操作后臺也不同。
基于數據隱私以及操作安全考慮,各個角色只應該處理自己角色范圍內的工作,而不應該查詢、操作僭越職責范圍外的信息。如除了財務組人員外,財務的數據不能隨便被公司其他人員看到、相關后臺不能隨便被登陸使用;hrbp所管理的員工薪酬信息不能隨便被普通員工看到等等。
權限系統是指,我們可以對每個操作后臺都上的一道鎖。只有擁有了這道鎖的【key】,即擁有了對應的權限的人,才能登陸系統,查詢相關數據。
二、如何設計權限系統
1. 權限系統設計流程
權限系統的設計其實主要是兩個流程:
- 對系統、及系統下細化的功能點關聯權限key
- 賦予用戶權限key
這樣預期就達成了:用戶擁有了某個系統/某個系統功能點的權限。
2. 權限系統設計維度
上文我們說了權限系統的設計流程,圍繞設計流程,可以分析出權限系統設計主要是兩個維度:
(1)系統/系統功能
對系統或系統某功能關聯權限時,一般包含功能域權限和數據域權限。怎么理解這個功能域權限和數據域權限呢?
還是舉個小明的栗子:小明是一個活動運營,每次涉及運營經費立項時,都會用公司統一OA系統按照要求填寫申請單、等待老板審批。小明發現,雖然同事小李也在用OA系統申請預算,但是他在后臺無法看到的小李的申請單。
在這個例子中,【能夠使用OA系統申請預算】是因為具備了OA系統的功能域權限,而只能看到部分數據,則是通過數據域進行了隔離。
(2)用戶(系統使用者)
對于產品經理來說,設計一套權限系統的初衷是通過建立功能域和數據域的權限點來限制用戶的使用場景,說白了就是增加操作門檻。所以系統使用者前置申請場景時,一般都需要審批流,審批完成后才能開通。如果沒有審批流,隨便申請隨便開,那權限系統意義不大。
審批流的設置的目的是降低風險,責任分攤。一件壞事兒知道的人越多,干成的概率就越低。所以審批流一般至少兩級:一級是申請的人直屬leader;二級是所申請的系統的負責人;聰明的你也許想到了,審核流最合適的方式就是接入OA系統。
通過OA系統的特點,即OA上關聯了足夠完善的組織架構信息,可以通過OA來打通權限系統上的各業務系統對應的負責人,就可以絲滑實現審核流機制。也可在這套流程中復用OA的郵件push、消息push等功能。
當然這個【誰來審】【怎么審】是完全由公司根據自身場景以及對安全性的重視程度來定的;比如CEO一定要參與審,這肯定也沒問題;比如走線下的郵件審批也是沒問題的。
3. 權限系統設計原則
權限系統設計的原則包括:
- 最小化權限:只給用戶所需的最小權限,以限制他們的訪問范圍。
- 權限可追溯:跟蹤記錄每個用戶的權限,以便于監督和審計;如OA的審批留痕、線下郵件留痕等。
- 靈活的權限管理:管理員應該能夠在需要時快速更改或撤銷用戶的權限。
- 數據保護:對敏感數據進行保護(如手機號、gmv),以確保安全性。
基于以上原則,剋呀設計一個安全、可靠的權限系統,防止未經授權的訪問和操作。此外,還應該定期審查和更新權限系統,規避數據風險。
4. 權限系統設計細節
權限系統是一個非常典型的后臺系統,做后臺系統的設計的要點就是【數據從哪來,到哪去】,根據權限系統使用的角色不同,所提供的功能也不同。主要是兩個管理系統
(1)權限點管理系統
權限點一般分為菜單的權限、以及功能點的權限;其中再從操作維度細拆,還可以拆成讀權限(R)和寫權限(W),主要字段如下:
(2)用戶管理系統
圍繞【給誰分配什么權限】來設計,主要字段如下:
三、個人思考
當公司規模較大、業務龐雜、人員角色在不斷擴張的情況下。0-1設計一套權限系統就尤為重要了。但是還是那句話,怎么做、做到什么安全程度都是根據實際公司場景來定的,每個公司的業務場景不同,設計權限系統需要根據實際情況進行定制化。
所以這里我只分享思路,權限系統的設計流程一般包括對系統和系統下的功能點關聯權限key以及賦予用戶權限key兩個流程,不管做0-1,還是1-100,都是圍繞這套思路進行展開,以上希望可以帶給你一點幫助。
專欄作家
閆秀兒,微信公眾號:閆秀兒,人人都是產品經理專欄作家。持續沉淀、持續成長的交易產品。
本文原創發布于人人都是產品經理,未經許可,禁止轉載
題圖來自 Unsplash,基于 CC0 協議
該文觀點僅代表作者本人,人人都是產品經理平臺僅提供信息存儲空間服務。
權限這么設計,怕是要亂死啊….
戛然而止
說了啥