前言
权限模型是企业管理软件最基本,也是最重要的功能之一,它属于系统的基础架构,涉及到对数据、操作功能的权限控制。它的难点在于如何将企业的日常管理合理地映射到系统的业务功能,使用户在使用系统的时候就跟日常办公一样自然,同时又能享受到办公自动化带来的效率提升。
在这次Qone Online的产品开发过程中,关于权限模型的方案讨论所花费的时间甚巨,演变出了很多种思路,本系列主要记录方案讨论的过程,一方面作为宝贵的经验财富,另一方面,也便于以后再回顾的时候看是否会有更加完美的方案。
分析
企业管理系统五花八门,这里我以软件企业的项目管理系统作为切入点进行分析。项目管理系统顾名思义主要是用于企业对项目进行管理,包括项目的立项、计划、跟踪、进度管理、成本管理、成员报工管理、绩效统计等业务功能。作为一个企业,会涉及到企业的部门组织结构以及人员职责的划分;而作为一个项目,它也可能处在一个复杂的项目组织结构中,典型的项目群组织是由项目组合、项目集、项目三类节点组成(关于三者的概念,可阅读我另一篇博文项目,项目集以及项目组合),所以项目也会涉及到项目组织结构以及人员职责划分的问题。
对于部门组织这个维度来说,涉及到的业务实体有哪些呢?联想现实的部门场景,首先我们能很容易识别出部门,其次部门里面肯定会有人员,人员一般会有职位,比如某某是部门经理,某某是财务助理;而对于项目组织这个维度来说,我们很容易识别出项目,人员等实体。
接着我们需要把现实的场景与系统关联起来,在系统里面,人员我们一般叫用户,对用户来说他需要操作系统中的功能,用户能操作什么功能,我们叫做权限,具有什么样的权限就能操作什么样的功能。权限需要分配给用户,一般来说一组用户可能具备相同的权限,比如各个部门的部门经理操作权限都差不多,这时候为了方便,我们把一组权限打包赋给各个成员,而这个打包的权限就叫做角色。一个角色对应多个用户,而一个用户可以具备多个角色,两者之间是多对多的关系。
方案一
这样,我们就把权限和用户通过角色关联了起来,这就形成了典型的用户-权限-角色权限模型。如下图所示:
图一 用户-权限-角色关系图
其中,角色与权限,用户与角色,均是多对多的关系,即一个角色包括多个权限,而一个权限可以属于多个角色共有;用户与角色的关系与此类似。
而对于部门组织结构这个维度来说,前面提到,还涉及到部门和职位两个业务实体。一个部门包括多个用户,而一个用户可以同时属于多个部门(兼职的情况),故两者的关系是多对多。一个部门通常会包含多个职位,而每个部门的职位一般来说是不一样的,比如开发部和行政部的人员,职位肯定是不一样的,一个是软件工程师,另一个可能是行政助理,故两者之间的关系是一对多,即一个部门包含多个职位,而一个职位只属于一个部门;由于用户可以同时隶属于多个部门,故可能会同时兼任多个职位,而一个职位下面通常也会有多个用户,故两者之间是多对多的关系。由此,形成了如下的关系图,其中双向箭头代表多对多关系,单项箭头代表一对多关系:
图二 部门组织权限模型
以上只是从部门组织维度描述权限模型,在项目组织的维度,同样也需要关联用户、权限和角色。三者的关联与图一所示的完全一致,但是这里需要考虑一个问题:比如有一个叫做项目经理的角色,他具备一系列操作权限,把这个角色分别赋给了张三和李四,张三在项目一,李四在项目二,那么张三是否能去操作李四的项目二呢?当然不能!这里就涉及到一个领域的概念,项目经理这个角色只有在与具体项目绑定了以后才有意义,并且绑定后,项目经理就只能操作本项目的数据,而不能去操作其它项目的数据。这个绑定的项目就是项目经理所能操作的领域。部门经理与此类似,虽然各个部门的部门经理操作功能差不多,但是能操作的数据范围仅限于本部门。
为了清晰,我们对角色进行了分类,分成了三类:项目级角色、部门级角色、系统级角色,它们针对的领域分别是项目、部门、系统。
总结
在本方案中,职位只是作为组织结构中人员的一个标签,在系统中没有特殊的含义,也不与操作权限相关,只有角色才与操作权限相关。用户通过赋予其角色,间接赋予了其操作系统中相应功能的权限。