权限规划是后台系统要考虑的一个授权战略问题

对于业务复杂或数据巨大的系统，为了便利处理，必定要做权限规划。权限规划是后台系统要考虑的一个授权战略问题。直白的说，权限规划便是根据公司的业务规矩，对权限处理系统设置的安全战略。

权限一般分为功用权限，数据权限与菜单权限：

• 功用权限控制其时账号可以操作的功用按妞，比如风控只能审阅标的挂号，但不能建议进件申请。
• 数据权限控制其时账号可以看到的数据范围，比如客服A只能看到分配到她名下的出借人的出资数据。
• 菜单权限控制其时账号可以看到的页面内容，比如催收人员只能看到案子逾期后流转到催收页面的内容。

对于权限规划，关键是理清用户、权限、人物三者的联络。即给谁创建账户，分配什么人物，赋予何种权限。

一、需求背景

权限规划的首要问题是明晰需求。权限规划牵涉到后台系统底层架构的业务逻辑，在做后台系统之前，必定要对现有的权限控制和业务状况了解清楚，才能防止在权限规划的问题上踩坑。

以某车贷风控系统为例，咱们经过相关业务部分的反应和其时权限系统的调研，发现它存在的问题有以下几点：

1. 用户的权限归属不明晰，导致进件的申请和审阅操作为同一个人；
2. 敏感数据没有做权限控制和脱敏处理，导致用户隐私数据被走漏；
3. 人物的分类不合理，每个用户只能装备一个人物，导致工作组和流程节点比较复杂；
4. 对所属团队的客户司理、团队司理和城市司理做了三级保护联络，但人员调集和离任率较大，导致处理本钱高。

了解完现有需求背景后，咱们学习钉钉的那套权限保护方法，改进了处理系统的权限规划。

一方面搜集权限需求，根据部分需求列一份权限清单，并做好CheckList。在模块的功用页面要放置哪些权限，完全可以根据《操作权限申请表》的业务需求，进行灵敏的权限装备。

另一方面凭借建模的用例图，将人物按功用Uc级细分到增删改查导，便利供认相关人员的操作权限。