一种基于电商新零售业务设计的细粒度权限控制管理方法与流程

本发明涉及权限控制管理方法技术领域，具体来说，涉及一种基于电商新零售业务设计的细粒度权限控制管理方法。

背景技术：

随着企业数字化的推进和企业中台体系的搭建，不同级别、不同企业成员角色登录系统以后查看的数据需要进行区分，且对业务线复杂的企业来说，对系统中的数据的权限颗粒度的掌控要求越来越细。当然，越细的权限管理对系统的计算性能，代码的算法设计有极高的要求。

现有产品的权限管理普遍使用的是rbac模型，即基于角色的访问权限控制。在不断的发展过程中，rbac也因不同的需求而演化出了不同的版本，目前主要有以下几个版本：

1、rbac0，这是rbac的初始形态，也是最原始、最简单的rbac版本；用户与角色可为多对一或多对多的关系，可以通过设置角色的权限，用户拥有某一角色，即意味着拥有该角色关联的所有功能。

2、rbac1，基于rbac0的优化，增加了角色的分层(即：子角色)，子角色可以继承父角色的所有权限；一般继承关系仅要求角色继承关系是一个绝对偏序关系，允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构，实现角色间的单继承。这种模型适合于角色之间层次分明，可以给角色分组分层。

3、rbac2，基于rbac0的另一种优化，增加了对角色的一些限制：角色互斥、角色容量等；互斥角色是指各自权限可以互相制约的两个角色。对于这类角色一个用户在某一次活动中只能被分配其中的一个角色，不能同时获得两个角色的使用权。例如，允许一个用户具有两个角色的成员资格，但在运行中不可同时激活这两个角色。

4、rbac3，最复杂也是最全面的rbac模型，它在rbac0的基础上，将rbac1和rbac2中的优化部分进行了整合；增加了用户组和角色组的概念。

然而，现有的一些权限设计只能满足公司的部门业务，当公司需要根据电商行业如：品牌、项目、渠道、店铺等维护来细分数据做经营分析管理时无法满足。

针对相关技术中的问题，目前尚未提出有效的解决方案。

技术实现要素：

针对相关技术中的问题，本发明提出一种基于电商新零售业务设计的细粒度权限控制管理方法，以克服现有相关技术所存在的上述技术问题。

为此，本发明采用的具体技术方案如下：

一种基于电商新零售业务设计的细粒度权限控制管理方法，包括以下步骤：

s1、创建权限组分类，采用预设方法创建权限组分类；

s2、创建权限组，选择创建的所述权限组分类，并采用预设方法进行权限组创建；

s3、添加成员，采用预设方法将可挂靠的成员列表添加至所述权限组中；

s4、功能权限设置，采用预设方法对所述权限组进行功能权限的设置；

s5、模块数据权限设置，采用预设方法对所述权限组进行模块数据权限的设置；

s6、业务数据权限设置，采用预设方法对所述权限组进行业务数据权限的设置；

s7、权限整合，当多个权限组都对相同成员用户及相同功能做了功能权限、模块数据权限和业务数据权限的设置，则需要采用预设方法对其进行权限整合。

进一步的，所述步骤s1采用预设方法创建权限组分类中还包括：系统预先创建的管理组和默认组，且所述管理组和所述默认组不可进行编辑及删除操作。

进一步的，所述步骤s1中的所述权限组分类名称不能和已有的分类名称重复，所述权限组分类可进行编辑和删除操作，且当所述权限组分类下存在权限组时，不可进行删除操作。

进一步的，所述步骤s2中的所述权限组名称不能与同一所述权限组分类下已有的权限组名称重复，所述权限组名称可进行编辑和删除操作，且当所述权限组下有成员时不可进行删除操作。

进一步的，所述步骤s3中的所述成员分为人员和角色两种，其中，新增可以同时选择人员和角色，可多选，选择完成员后，可以进行勾选所在权限组，且一个成员可同时存在于多个权限组；成员添加完成后，可以进行查看、编辑和删除；删除时，当成员类型是人员时，该人员仅在一个权限组则不可删除，当人员存在于两个及两个以上的权限组则可删除；当成员类型是角色时，该角色中对应的人员只存在当前这个权限组，则不可删除，当该角色对应人员存在于两个及两个以上的权限组则可删除。

进一步的，所述步骤s4采用预设方法对所述权限组进行功能权限的设置还包括：系统预先设定的具有通用数据权限的功能模块，并设置权限模块。

进一步的，所述步骤s4采用预设方法对所述权限组进行功能权限的设置包括以下步骤：在所述权限组下勾选店铺列表菜单及对应的操作按钮，且当勾选功能权限完成后并进行保存，会根据所述通用数据权限中的配置生成默认的数据权限，并默认生成该功能权限对应的全部业务数据权限。

进一步的，所述步骤s5中的模块数据权限主要分基础数据权限和数据共享两个层次来实现对数据的控制，其中，所述基础数据权限包括被操作对象和对他人数据操作的只读及读写两种权限，所述数据共享指根据基础数据权限中的数据记录所属将其共享给其它用户查看或编辑。

进一步的，所述步骤s6中的业务数据权限分别从品牌、项目、渠道和店铺四个维度来实现对数据的控制，且可设置该权限组中所有人员可以查看的品牌、项目、渠道及店铺业务数据，若设置指定到某店铺，则表示该权限组里的所有人员只能查看关于该店铺的信息。

进一步的，所述步骤s7当多个权限组都对相同成员用户及相同功能做了功能权限、模块数据权限和业务数据权限的设置，则需要采用预设方法对其进行权限整合包括以下步骤：当设置为功能权限，整合时则取并集权限；当设置为模块数据权限，整合时则取范围大的权限；当设置为业务数据权限，整合时取范围大的权限加上并集权限。

本发明的有益效果为：

1)、本发明通过在rbac3模型上进行新的创新，支持针对每个模块设置数据权限和业务权限，使得公司在系统数据的管控上能随着业务在不断变化更新下灵活方便做出适应和调整。

2)、本发明设置操作简便，不仅可以设置通用的权限，而且也可以设置不同类型的权限组，使得用户可以且只能访问自己被授权的资源，同时，通过细粒度的数据权限控制能有效避免数据外泄导致的安全隐患，全面提高保障企业数据的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的一种基于电商新零售业务设计的细粒度权限控制管理方法的流程示意图；

图2是根据本发明实施例的一种基于电商新零售业务设计的细粒度权限控制管理方法中新增权限组分类页面示意图；

图3是根据本发明实施例的一种基于电商新零售业务设计的细粒度权限控制管理方法中新增权限组页面示意图；

图4是根据本发明实施例的一种基于电商新零售业务设计的细粒度权限控制管理方法中功能权限设置页面示意图；

图5是根据本发明实施例的一种基于电商新零售业务设计的细粒度权限控制管理方法中模块数据权限设置页面示意图；

图6是根据本发明实施例的一种基于电商新零售业务设计的细粒度权限控制管理方法中业务数据权限设置页面示意图；

图7是根据本发明实施例的一种基于电商新零售业务设计的细粒度权限控制管理方法中增加“用户组”和“权限组”的rbac模型示意图；

图8是根据本发明实施例的一种基于电商新零售业务设计的细粒度权限控制管理方法中品牌、项目、渠道、店铺之间的架构示意图。

具体实施方式

为进一步说明各实施例，本发明提供有附图，这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理，配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点，图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

根据本发明的实施例，提供了一种基于电商新零售业务设计的细粒度权限控制管理方法。

现结合附图和具体实施方式对本发明进一步说明，如图1-8所示，根据本发明实施例的基于电商新零售业务设计的细粒度权限控制管理方法，包括以下步骤：

s1、创建权限组分类，采用预设方法创建权限组分类(如图2所示为新增权限组分类页面示意图)；

其中，所述步骤s1中还包括：系统预先创建的管理组和默认组，且所述管理组和所述默认组不可进行编辑及删除操作。

具体的，所述步骤s1包括：录入权限组分类名称，并进行保存，且所述权限组分类名称不能和已有的分类名称重复，所述权限组分类可进行编辑和删除操作，且当所述权限组分类下存在权限组时，不可进行删除操作。

s2、创建权限组，选择创建的所述权限组分类，并采用预设方法进行权限组创建，如：普通员工权限组，如图3所示为新增权限组页面示意图；

具体的，所述步骤s2包括：选择所述权限组分类，录入权限组名称，并进行保存，且所述权限组名称不能与同一所述权限组分类下已有的权限组名称重复，所述权限组名称可进行编辑和删除操作，且当所述权限组下有成员时不可进行删除操作。

s3、添加成员，采用预设方法将可挂靠的成员列表添加至所述权限组中，如：选择a成员添加并保存后，即该a成员已拥有该权限组下的权限；

具体的，所述步骤s3中的所述成员分为人员和角色两种，其中，新增可以同时选择人员和角色，可多选，选择完成员后，可以进行勾选所在权限组，且一个成员可同时存在于多个权限组；成员添加完成后，可以进行查看、编辑和删除；删除时，当成员类型是人员时，该人员仅在一个权限组则不可删除，当人员存在于两个及两个以上的权限组则可删除；当成员类型是角色时，该角色中对应的人员只存在当前这个权限组，则不可删除，当该角色对应人员存在于两个及两个以上的权限组则可删除。

s4、功能权限设置，采用预设方法对所述权限组进行功能权限的设置，如：对“普通员工权限组”设置功能权限；

其中，所述功能权限的定义：为可见、可以操作的功能范围，例如：某一部分菜单，或者某个页面里的各种操作。

具体的，所述步骤s4还包括：系统预先设定的具有通用数据权限的功能模块，并设置权限模块。

所述步骤s4包括以下步骤：在所述权限组下勾选店铺列表菜单及对应的操作按钮(如图4所示为功能权限设置页面示意图)，且当勾选功能权限完成后并进行保存，会根据所述通用数据权限中的配置生成默认的数据权限，并默认生成该功能权限对应的全部业务数据权限。此外，通过步骤s4生成默认的数据权限，可以根据业务需要进行调整。

s5、模块数据权限设置，采用预设方法对所述权限组进行模块数据权限的设置，如：对“普通员工权限组”设置模块数据权限，如图5所示为模块数据权限设置页面示意图；

其中，所述模块数据权限的定义：指模块数据权限管理主要控制某条数据记录对用户是否可见，结合功能权限可以更灵活的配置业务过程中每一位员工的功能操作权限及数据可见范围。

具体的，所述步骤s5中的模块数据权限主要分基础数据权限和数据共享两个层次来实现对数据的控制，其中，所述基础数据权限包括被操作对象和对他人数据操作的只读及读写两种权限，且所述基础数据根据数据的负责人来决定，所述数据共享指根据基础数据权限中的数据记录所属将其共享给其它用户查看或编辑。

其中，对他人的数据的操作权限包括只读和读写两种：

只读：指对他人(被操作对象中的选项)的数据只拥有读的权限；

读写：指对他人(被操作对象中的选项)的数据拥有读和写的权限。

被操作对象：指被查看或操作的对象，包括仅自己、自己以及上级负责人、自己以及部门所有人员、自己以及所属公司、自己以及所属集团。

为了更好地理解本发明的上述技术方案，举例说明如下：

例如：a成员所属的权限组对应的模块数据权限中，对‘采购申请’这个菜单功能对他人的数据操作权限设置成了【读写】，被操作对象设置成了【自己以及所属集团】，那么a用户就能看到‘采购申请’这个菜单下面对应整个集团所有人的采购申请数据，并且能对这些数据做写操作。

数据权限共享：数据共享规则是将某个部门/员工(数据来源)的某个对象(比如客户)的全部负责的功能菜单数据共享给某个角色、人员或者权限组(共享范围)。配置数据共享规则后，被共享方对共享方所负责的所有数据可见，并具备共享权限对应的操作权限。

为了更好地理解本发明的上述技术方案，以下就业务配置进行说明并对业务场景进行举例说明。

1)、业务配置说明：

数据来源于：即需要共享的数据，选择员工即指该员工负责或录入的所有数据，选择部门即指该部门下员工负责或录入的所有数据。

共享的数据：选择需共享的对象，比如：将员工a录入的数据共享给员工b。

数据共享到：被共享方，可选择人员、角色或权限组，被选择的人员、角色或权限组的成员将可以看到共享的数据。

共享权限：配置被共享方可对数据查看或是可编辑的权限，如果配置为“读、写”权限后，被共享方对共享数据的权限可类比于数据录入者人员的权限。

2)、业务场景举例：运营一部想让运营二部李四看到该部门的所有采购申请单数据，并且让李四可编辑操作运营一部的数据。

共享规则配置

数据来源是“运营一部”；共享数据是“采购申请单”；共享范围是“李四”；共享权限是“读、写”。

配置完成后

配置完成后，李四在【采购申请单】对象，【共享给我的】场景下，可以看到并可以操作运营一部的所有人员的采购申请单数据。

s6、业务数据权限设置，采用预设方法对所述权限组进行业务数据权限的设置，如：对“普通员工权限组”设置业务数据权限，如图6所示为业务数据权限设置页面示意图；

其中，所述业务数据权限的定义：指业务数据权限管理主要从更细粒度的业务层来控制某条数据记录对用户是否可见，结合模块数据权限、功能权限可以更佳灵活的配置业务过程中每一位员工的功能操作权限及数据可见范围，全面保障企业数据的安全性。

具体的，所述步骤s6中的业务数据权限分别从品牌、项目、渠道和店铺四个维度来实现对数据的控制，且四个维度之间为包含关系，即品牌>项目>渠道>店铺，且可设置该权限组中所有人员可以查看的品牌、项目、渠道及店铺业务数据，若设置指定到某店铺，则表示该权限组里的所有人员只能查看关于该店铺的信息。

为了更好地理解本发明的上述技术方案，以下就可见范围和自定义可见(品牌、项目、渠道和店铺)进行说明。

1)、可见范围：

全部：可以看到所有数据(品牌、项目、渠道、店铺)。

自己参与的品牌+自定义：除了能看到自己参与的品牌数据，也可以自定义设置可以看到的具体到品牌、项目、渠道、店铺维度的数据。

自己参与的项目+自定义：除了能看到自己参与项目数据，也可以自定义设置可以看到的具体到品牌、项目、渠道、店铺维度的数据。

自己参与的渠道+自定义：除了能看到自己参与的渠道数据，也可以自定义设置可以看到的具体到品牌、项目、渠道、店铺维度的数据。

自己参与的店铺+自定义：除了能看到自己参与的店铺数据，也可以自定义设置可以看到的具体到品牌、项目、渠道、店铺维度的数据。

自定义：自定义设置可以看到的具体到品牌、项目、渠道、店铺维度的数据。

2)、自定义可见(品牌、项目、渠道、店铺)：

自定义设置可以看到的具体到品牌、项目、渠道、店铺维度的一个或多个数据。

s7、权限整合，当多个权限组都对相同成员用户及相同功能做了功能权限、模块数据权限(基础数据权限+共享数据权限)和业务数据权限的设置，则需要采用预设方法对其进行权限整合。

具体的，所述步骤s7当多个权限组都对相同成员用户及相同功能做了功能权限、模块数据权限和业务数据权限的设置，则需要采用预设方法对其进行权限整合包括以下步骤：当设置为功能权限，整合时则取并集权限；当设置为模块数据权限，整合时则取范围大的权限；当设置为业务数据权限，整合时取范围大的权限加上并集权限。

为了更好地理解本发明的上述技术方案，以下就权限整合进行举例说明。

1)、功能权限：取并集。例如：一个权限组勾选了功能一的【编辑】，另一个权限组勾选了功能一的【删除】，那么该用户就会有该功能的【编辑】【删除】两个权限；

2)、模块数据权限(基础数据权限+共享数据权限)：取范围大的权限。例如：

一个权限组中对他人的数据操作权限的功能一选择了【读】，另一个权限组中对他人的数据操作权限的功能一勾选择了【读、写】，那么该用户就会有该功能的【读、写】权限；

一个权限组中被操作对象的功能一选择了【自己以及上级负责人】，另一个权限组中被操作对象的功能一选择了【自己以及所属集团】，那么该用户就会有该功能【自己以及所属集团】数据访问权限；

3)、业务数据权限：取范围大的权限+并集。例如：通过取并集数据的情况，一个权限组中可见范围选择了自己参与的品牌+自定义，其中自定义选了品牌1、品牌2。另一个权限组中可见范围也选择了自己参与的品牌+自定义，其中自定义选了品牌3、品牌4。用户的权限就是：自己参与的品牌+自定义，自定义包含品牌1、品牌2、品牌3、品牌4数据。

如图7所示，为增加“用户组”和“权限组”的rbac模型示意图，本发明通过在rbac3模型上进行了新的创新，支持针对每个模块设置数据权限和业务权限。

数据权限指的是在企业各级行政组织的查看权限，无需单独设计复杂的角色层级关系，直接套用企业的行政组织关系。

业务权限是在电商项目特有的场景下，设计了使用户只能看指定品牌、项目、渠道、店铺。此设定可以根据每个模块的保密等级去合理设置可见的业务权限范围。因品牌、项目、渠道、店铺本身是有架构层级关系的(架构如图8所示)，企业的项目人员管理，业务权限的最小颗粒度在店铺。

综上所述，借助于本发明的上述技术方案，本发明通过在rbac3模型上进行新的创新，支持针对每个模块设置数据权限和业务权限，使得公司在系统数据的管控上能随着业务在不断变化更新下灵活方便做出适应和调整。

此外，本发明设置操作简便，不仅可以设置通用的权限，而且也可以设置不同类型的权限组，使得用户可以且只能访问自己被授权的资源，同时，通过细粒度的数据权限控制能有效避免数据外泄导致的安全隐患，全面提高保障企业数据的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。