3 权限分配模型

3.1 权限分层与继承

1、通过通用角色对企业抽象及固化权限集合进行管理，即将权限按照角色进行集合打包。

2、业务角色引用通用角色，并增加隔离维度范围，如组织范围、渠道范围、体系范围，使该业务角色具备业务属性，变成授权给用户后就可以真正做业务的角色。

3、需要注意的是，通用角色就是一些权限的集合，本身与隔离维度没有关系。业务角色按照不同权限控制类型是有隔离维度的，如组织、体系、渠道等。

典型案例：

如图所示举例，如果核算会计为一个岗位职能，假如有20位核算会计用户到岗需授权，如果按照通用角色的方式来授权，则至少需要操作3个通用角色（应付会计、出纳、总账会计），以及有权组织N个（假定是5个有权组织范围），那么操作次数至少为15次。如果要给20个用户授权核算会计权限，则需要操作15*20=300次，如果是有更多的有权组织范围需分配，更多的用户需分配，则操作就更烦琐了。

那假如用业务角色来授权呢？把3个通用角色添加到业务角色，操作3次。业务角色中分配组织范围（同样是5个组织范围），操作5次。分配给20位用户，添加用户操作20次。整个授权过程，总计操作3+5+20=28次，极大降低了管理员工作量。

所以对于业务职能和所需权限确定的的授权场景，推荐使用业务角色来进行封装，会有效减轻管理员工作压力。

实施建议：

1、对于常见企业管理场景，都建议先按照用户工作职能进行权责划分，将相关的权限设计为通用角色进行打包。后续在授权的时候就避免了总是重复去选择这些共性的权限。

2、然后依据企业管理的实际业务需求和隔离维度，比如是按组织隔离，还是按体系隔离，来创建业务角色，将共性的通用角色进行引用，叠加上隔离维度，即变成了可用于企业管理的业务角色，能直接授权给用户进行使用。

3、当然通用角色直接分配给用户也是可以的，但因为通用角色是不带隔离维度的，所以在授权的过程除给用户分配通用角色，还需为用户分配隔离维度（比如是按组织隔离，还是按体系隔离）。

4、对于确定的业务岗位职能要做授权，强烈推荐使用业务角色来授权，能有效减少管理员工作量。

3.2 角色权限查询

提供多个维度的权限查询报表，方便查询用户、角色的权限明细。

3.3 用户权限分配

1、用户授权提供多种授权方式：用户角色授权、用户直接授权、用户权限复制、用户权限补充、用户权限禁用。

2、给户分配角色授权，同时可以补充禁用权限。

3、给用户直接授权，包括功能权限、字段权限、数据规则。

4、给用户复制权限，复制项可选是否包含角色、禁用权限、直接授权权限。

5、用户实际的功能权限=（通用角色权限 ∪ 业务角色权限 ∪ 业务角色补充权限 ∪ 直接授权）- 禁用权限

实施建议：

1、用户授权更多是用来对员工的权限进行微调，一般不推荐通过直接授权去完成大量的授权工作。会导致授权过程复杂，同时后期也不利于批量调整相同职能员工的权限。

2、但有些场景适合通过直接授权来处理，比如临时想创建个测试用户，或者相对某个用户的权限进行微调，或者想要快速复制用户A的权限给用户B，这些场景都适合通过直接授权来处理，且很高效。

4 权限校验模型

1、用户访问和操作功能是按“用户+应用+控制对象+验权隔离维度（组织、渠道、体系等）”

2、苍穹的验权都是实时验权，即操作触发验权，在满足平台验权服务使用之外，还可以通过接口方式提供服务，如有二开需求或特殊场景，可具体问题具体分析。

4.1 权限校验

1、提供功能权限、字段权限、数据规则、特殊数据权限的控制粒度。

2、引入数据规则方案将常见的数据规则资料化，方便用户维护起来复用，提升授权效率。