前言

权限模型是企业管理软件最基本，也是最重要的功能之一，它属于系统的基础架构，涉及到对数据、操作功能的权限控制。它的难点在于如何将企业的日常管理合理地映射到系统的业务功能，使用户在使用系统的时候就跟日常办公一样自然，同时又能享受到办公自动化带来的效率提升。

在这次Qone Online的产品开发过程中，关于权限模型的方案讨论所花费的时间甚巨，演变出了很多种思路，本系列主要记录方案讨论的过程，一方面作为宝贵的经验财富，另一方面，也便于以后再回顾的时候看是否会有更加完美的方案。

 

分析

企业管理系统五花八门，这里我以软件企业的项目管理系统作为切入点进行分析。项目管理系统顾名思义主要是用于企业对项目进行管理，包括项目的立项、计划、跟踪、进度管理、成本管理、成员报工管理、绩效统计等业务功能。作为一个企业，会涉及到企业的部门组织结构以及人员职责的划分；而作为一个项目，它也可能处在一个复杂的项目组织结构中，典型的项目群组织是由项目组合、项目集、项目三类节点组成（关于三者的概念，可阅读我另一篇博文项目，项目集以及项目组合），所以项目也会涉及到项目组织结构以及人员职责划分的问题。

对于部门组织这个维度来说，涉及到的业务实体有哪些呢？联想现实的部门场景，首先我们能很容易识别出部门，其次部门里面肯定会有人员，人员一般会有职位，比如某某是部门经理，某某是财务助理；而对于项目组织这个维度来说，我们很容易识别出项目，人员等实体。

接着我们需要把现实的场景与系统关联起来，在系统里面，人员我们一般叫用户，对用户来说他需要操作系统中的功能，用户能操作什么功能，我们叫做权限，具有什么样的权限就能操作什么样的功能。权限需要分配给用户，一般来说一组用户可能具备相同的权限，比如各个部门的部门经理操作权限都差不多，这时候为了方便，我们把一组权限打包赋给各个成员，而这个打包的权限就叫做角色。一个角色对应多个用户，而一个用户可以具备多个角色，两者之间是多对多的关系。

 

方案一

这样，我们就把权限和用户通过角色关联了起来，这就形成了典型的用户-权限-角色权限模型。如下图所示：

 

图一 用户-权限-角色关系图

 

 

其中，角色与权限，用户与角色，均是多对多的关系，即一个角色包括多个权限，而一个权限可以属于多个角色共有；用户与角色的关系与此类似。

而对于部门组织结构这个维度来说，前面提到，还涉及到部门和职位两个业务实体。一个部门包括多个用户，而一个用户可以同时属于多个部门（兼职的情况），故两者的关系是多对多。一个部门通常会包含多个职位，而每个部门的职位一般来说是不一样的，比如开发部和行政部的人员，职位肯定是不一样的，一个是软件工程师，另一个可能是行政助理，故两者之间的关系是一对多，即一个部门包含多个职位，而一个职位只属于一个部门；由于用户可以同时隶属于多个部门，故可能会同时兼任多个职位，而一个职位下面通常也会有多个用户，故两者之间是多对多的关系。由此，形成了如下的关系图，其中双向箭头代表多对多关系，单项箭头代表一对多关系：

 

图二 部门组织权限模型

以上只是从部门组织维度描述权限模型，在项目组织的维度，同样也需要关联用户、权限和角色。三者的关联与图一所示的完全一致，但是这里需要考虑一个问题：比如有一个叫做项目经理的角色，他具备一系列操作权限，把这个角色分别赋给了张三和李四，张三在项目一，李四在项目二，那么张三是否能去操作李四的项目二呢？当然不能！这里就涉及到一个领域的概念，项目经理这个角色只有在与具体项目绑定了以后才有意义，并且绑定后，项目经理就只能操作本项目的数据，而不能去操作其它项目的数据。这个绑定的项目就是项目经理所能操作的领域。部门经理与此类似，虽然各个部门的部门经理操作功能差不多，但是能操作的数据范围仅限于本部门。

为了清晰，我们对角色进行了分类，分成了三类：项目级角色、部门级角色、系统级角色，它们针对的领域分别是项目、部门、系统。

 

总结

在本方案中，职位只是作为组织结构中人员的一个标签，在系统中没有特殊的含义，也不与操作权限相关，只有角色才与操作权限相关。用户通过赋予其角色，间接赋予了其操作系统中相应功能的权限。