权限管理是做B端后台管理系统比较常见也绕不开的一个模块，这个模块保证不同类型使用者能够合理使用管理后台，相对来说是后台系统一个比较复杂的模块；在我们平日使用的C端产品中，权限管理也是无处不在的，只是相对管理系统来说会简单得多；

权限管理的业务使用场景是：某一个组织内部的不同类型的人员，需要在一个系统里面协同完成某些业务操作；同时这些不同类型的人员需要有不同的使用模块，操作不同的模块资源；

在后台系统中，权限的表现方式是，控制某个用户对系统某个功能模块的操作、对系统中存在文件的增删改查、对某个菜单的访问、对页面上某个按钮某个图片的可见性、对某些数据的可见性等；

通过权限的表现方式，我们可以归纳权限管理包含两个部分：控制用户访问某些功能、控制用户访问某些数据；系统功能、系统数据都是系统资源的表现形式，实则权限控制的本质就是就是用户与系统资源的配置；

我们通过一个例子来说明；

在论坛时代，进入某个论坛，有很多用户在某个讨论互联网的版块发帖、跟帖、评论等；但是不同用户可操作的内容是不同的；有的用户可对版块内的帖子进行删除操作，甚至可以禁止某些用户评论跟帖，而有的用户只能发帖、评论；我们都知道，可以删帖、禁止跟帖评论操作的一般都是版主、管理员之类的，发帖、评论的都是一些普通用户；

这个例子中，发帖、跟帖评论、删帖、禁止发言都是一些操作的权限，而有的用户有着数个权限，有的用户只有区区一个权限；

到这里，我们就需要引入一个基于用户的新的概念：用户角色；

用户角色是什么；用户角色是一定数量的权限的集合，一定操作权限的载体；说直白点，角色就是不同权限组合的载体；

例子中版主、管理员就是角，发帖、跟帖评论、删帖、禁止发言就是权限；对于论坛来说，不论是版主还是普通成员，他们都是用户，只不过各自的权限不同；但系统设计不可能根据不同的类型的用户单独去配置功能权限，如果后期增添功能，就需要分别对不同类型的用户配置不同的功能权限；这个操作不论是通过谁来操作，都无法做到灵活配置；

用户通过角色与权限进行关联，构造成“用户-角色-权限”的授权模型；在这个模型中，用户与角色之间，角色与权限之间，一般是多对多的关系；一个用户拥有若干角色，一个角色拥有若干权限；

要给某个用户授予不同的权限，不需要直接将权限授予用户，将不同角色赋予给用户即可；授予用户不同角色，即是授予用户不同权限；

说到这里，基本对用户权限做了一个完整的梳理，我们在控制用户操作功能权限的时候，可以通过授予不同角色不同的功能权限，然后通过对不同类型用户授予不同的用户角色，这样，就控制了不同用户之间的不同功能操作权限，形成一个功能权限的完整闭环；

那么在实际设计与操作中是如何表现的；

系统在初始化时会赋予某些用户管理员角色，管理员有着系统所有模块的功能操作权限；管理员通过创建不同用户角色，给不同用户角色授予不同功能权限；同时创建子账号用户，给这些子账号用户授予不同用户角色，那么不同用户即可拥有不同操作权限；

即流程就是：1）、管理员创建用户角色；2）、管理员创建子账号；3）、授予不同用户不同用户角色；4）、不同用户拥有不同功能操作权限；

前面我们说到，通过权限的表现方式，我们可以归纳权限管理包含两个部分：控制用户访问某些功能、控制用户访问某些数据；实则系统权限应该包含两个模块：功能模块、数据模块；

我们再来通过一个例子说明；

某个管理系统，有财务、销售、客服等不同角色；

在销售部门，有不同级别的职位，不同职位的员工都能查看销售额这个模块的数据；但是由于数据的重要性与商业价值，需要不同级别的员工能够看到不同的数据；

例如总监可以看到全国的销售额，该总监下属某个负责华东业务的总经理只能看到华东地区的销售额，该总监下属某个负责华北业务的总经理只能看到华北地区的销售额；总监、区域经理，都能看到销售额这个模块的数据，但由于职位不同，能够看到的数据范围也就不同；

在财务部门、客服部门，同样有着相同的问题存在；财务总监、审计员能够看到的数据范围是不一样的，客服主管、客服经理能够看到的数据范围也是不一样的；

产生这种不同职位看到不同数据范围的需求，是公司内部组织架构的职能结构决定的；

上面的两个例子可以看到，对于业务不复杂的产品，仅从功能去设计是足够的；当系统变得复杂的时候，就需要在功能限制的基础上，加上数据范围的限制；可以理解为，数据权限是对功能权限的补充，两者并不是独立的分类，而是权限管理中相辅相成的两个部分；

所以在涉及到管理系统的权限管理模块时，其实是包含两个模块的：功能权限模块、数据权限模块；

那么我们在设计权限管理模块时，应该怎么来划分功能权限和数据权限呢；可以从两个维度来做划分：横向与纵向；横向划分对应功能权限，纵向划分对应数据权限；

横向按组织内部组织架构业务结构类型来划分，前提是公司在实际业务运转中对内部不同类型、结构已经作了分割，例如运营部、销售部、客服部，不同部门看到的功能模块不同；

纵向按照不同角色的等级关系进行划分，数据权限的划分往往基于公司内部组织架构的职能结构进行划分，从而满足管理的需求；例如销售总监和销售经理在某些重叠功能模块上看到的数据范围不同；

处理好功能权限和数据权限对系统资源的分配，不同用户角色的划分及用户角色之间的关联就有较为清晰的界限，为后期的产品迭代提供足够可扩展空间；

说到这里，那么问题来了，功能权限和数据权限的区别到底是什么，两者的边界到底在哪里，如何做两者之间的界限划分；

我的理解是，其实功能权限和数据权限很难做到非常清晰的界限划分，不同公司内部不同业务类型，会决定不同功能权限、数据权限的界限划分，我们只有在具体问题时做具体分析；有一点需要明确的是，两者并不是相互独立的关系，而是一种相辅相成的关系，是为了能够更好地管理内部写作与提升内部的协作效率；