媒介管理系统权限设计方案

一 需求单流程

graph TB; subgraph 销售 A(收到客户需求)--填写-->B(需求单) end subgraph 销管 林玲 赵总审批 林玲分配专员 销管有修改权限 B--提交-->C{审批} C--驳回-要求不符重新填写-->B end subgraph 媒介专员 C--通过-->D[添加媒体方案挂载到需求单] end subgraph 媒介管理-美娜和宇霞 D--提交-->E{媒体方案审批} E--驳回-修改媒体方案-->D E--通过-方案给到销售-->B end

二 购买单流程

graph TB; subgraph 媒介专员 A(收到购买需求)--填写-->B(购买确认单)-->C{提交审核} end subgraph 销售 C-->D(销售确认) D--驳回-->B end subgraph 媒介 管理员 D-->F(媒介总监汪姐 贾哥确认) F--驳回-->B end subgraph 销管 陈媛 F-->E(销管确认) E--驳回-->B end subgraph 总裁 赵琦 E-->G(赵总确认)--通过-->B G--驳回-->B end

三 角色组织架构

graph TB; A[总裁]-->B(销管) A-->C(媒介总监) B-->E(销售总监)-->D(销售经理) C-->F(媒介总监助理)-->G(媒介专员)

四 数据权限

graph TB; A[角色-媒介管理员]-->B>权限-媒介板块内所有权限] A[角色-媒介管理员]-->F(职位-总经理 副总经理 总经理助理)

graph TB; C[角色-媒介经理]-->D>权限-自己负责区域 媒体形式的询单 购买确认单及全国户外媒体数据库信息] C[角色-媒介经理]-->H(职位-媒介经理 高级媒介经理 总监 高级购买总监 大区副总)

graph TB; A[角色-总裁]-->B>权限-媒介板块内所有权限] C[角色-销售管理]-->D>权限-媒介板块内所有权限] E[角色-销售经理]-->F>权限 自己范围内数据权限] G[角色-销售总监]-->H>权限 自己组成员的所有权限]

五 权限模型

　　　　主体（账号、密码）

　　　　资源（资源名称、访问地址）

　　　　权限（权限名称、资源id）

　　　　角色（角色名称）

　　　　角色和权限关系（角色id、权限id）

　　　　主体和角色关系（主体id、角色id）

如图所示：

权限：

是用户可以访问的资源, 包括页面权限, 操作权限, 数据权限:
页面权限:

即用户登录系统可以看到的页面, 由菜单来控制, 菜单包括一级菜单和二级菜单, 只要用户有一级和二级菜单的权限, 那么用户就可以访问页面
操作权限:
即页面的功能按钮，包括查看, 新增, 修改, 删除, 审核等，用户点击删除按钮时，后台会校验用户角色下的所有权限是否包含该删除权限。如果是, 就可以进行下一步操作, 反之提示无权限。

数据权限:
数据权限就是用户在同一页面看到的数据是不同的，比如销售部只能看到其部门下的用户数据，媒介部只看媒介部的数据。

授权流程

授权即给用户授予角色, 按流程可分为手动授权和审批授权。权限中心可同时配置这两种, 可提高授权的灵活性。
手动授权

管理员登录权限中心为用户授权，根据在哪个页面授权分为两种方式：给用户添加角色，给角色添加用户。

给用户添加角色就是在用户管理页面，点击某个用户去授予角色，可以一次为用户添加多个角色；给角色添加用户就是在角色管理页面，点击某个角色，选择多个用户，实现了给批量用户授予角色的目的。
审批授权

即用户申请某个职位角色，那么用户通过 OA 流程申请该角色，然后由上级审批，该用户即可拥有该角色。

六 粗粒度和细粒度权限

粗粒度权限管理

对资源类型的权限管理。资源类型比如：菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮 。——架构层面

粗粒度权限管理比如：超级管理员可以访问户添加页面、用户信息等全部页面。

部门管理员可以访问用户信息页面包括 页面中所有按钮。

细粒度权限管理

对资源实例的权限管理。资源实例就资源类型的具体化，比如：用户id为001的修改连接，1110班的用户信息、行政部的员工。——逻辑代码

细粒度权限管理就是数据级别的权限管理。

细粒度权限管理比如：部门经理只可以访问本部门的员工信息，用户只可以看到自己的菜单，大区经理只能查看本辖区的销售订单。。

粗粒度和细粒度例子：

系统有一个用户列表查询页面，对用户列表查询分权限，如果粗颗粒管理，张三和李四都有用户列表查询的权限，张三和李四都可以访问用户列表查询。

进一步进行细颗粒管理，张三（行政部）和李四(开发部)只可以查询自己本部门的用户信息。张三只能查看行政部 的用户信息，李四只能查看开发部门的用户信息。细粒度权限管理就是数据级别的权限管理。

如何实现粗粒度和细粒度权限管理。

粗粒度权限管理比较容易将权限管理的代码抽取出来在系统架构级别统一处理。比如：通过springmvc的拦截器实现授权。

实现细粒度权限管理

对细粒度权限管理在数据级别是没有共性可言，针对细粒度权限管理就是系统业务逻辑的一部分，如果在业务层去处理相对比较简单，如果将细粒度权限管理统一在系统架构级别去抽取，比较困难，即使抽取的功能可能也存在扩展不强。

建议细粒度权限管理在业务层去控制。

比如：部门经理只查询本部门员工信息，在service接口提供一个部门id的参数，controller中根据当前用户的信息得到该 用户属于哪个部门，调用service时将部门id传入service，实现该用户只查询本部门的员工。

基于url拦截的方式实现在实际开发中比较常用的一种方式。

对于web系统，通过filter过虑器实现url拦截，也可以springmvc的拦截器实现基于url的拦截。