权限体系的要素有：组织、角色、用户和权限、页面、视图

权限体系的核心要素

权限体系的要素有：组织、角色、用户和权限、页面、视图。

• 组织、角色、用户是基于业务变化可即时调整的。
• 权限是最底层属性，由开发人员基于业务需求开发实现。权限约束的对象是后台的具体实例。根据数据接口安全需要，可设计专用的接口权限。
• 页面、视图是系统按照业务配置、给对应用户呈现的内容。

1. 组织

组织有多个类型，常见有三种：

1. 基于行政组织来设置的，但又可能会不同于行政组织。比如总部在行政上会有销售副总、销售部长、营销部长，而在营销系统的权限配置中，不会创建公司高管、下面设销售部、营销部，而是将销售总监、销售部长、营销部长放在在一个部门里，给不同角色。
2. 基于某个业务线来设置，比如按产品线维度，A1产品线的只能看到AI产品线相关的线索、订单等业务数据。
3. 临时项目组织。因业务需要，临时创建的组织，从多个组织中拉入人员，共同处理某特定业务。

2. 角色

角色是权限分配的单位与载体。复杂业务中，角色可基于不同业务组织创建，以限定业务范围。

3. 用户

用户归属于某个组织、且拥有某个或多个角色的权限。因组织所在的位置或等级、以及角色，决定了用户拥有的权限。存在即使角色相同，但因组织等级不同，可见的数据范围也不同的情况。

4. 权限

权限分功能权限、组织权限、数据权限。

（1）功能权限：

常见的功能权限有新增（建）、编辑、查询、删除、停用、分配、分享、提交、审批等。功能权限+组织权限，决定了可以看到多大范围的业务数据，因查询是最基础的功能权限。比如可以查询到本部门所有订单数据，但只能修改单据的所有人（Owner）是本人的订单。

权限体系较为精细的平台，对分享还做了限制，比如张三分享某数据给李四时，可设置李四是否可以再分享出去。这样的业务场景多用于B端业务，比如商机跟进。客户是有AE负责，售前顾问提供解决方案，就会出现1个AE对多个售前顾问，客户数据需要定向的共享给售前顾问。

（2）组织权限：

分个人、部门、本下级、组织4个等级。比如个人是指一线的销售顾问，部门指销售顾问所在的部门（也可以是小组）；本下级指本级以及下级部门的权限、如销售大区；组织级指当前组织下所有业务部门的权限。

下图为功能与组织权限授权页面：

（3）数据权限：

此处特指字段级权限。指某角色或某用户能否查看或编辑某个实例中的某个字段。字段级权限应用场景较少，比如费用审批中最终审批人确定的核准金额字段。字段级权限一般与页面、视图融合在一起配置使用，毕竟不让人家看到字段的值，就干脆不要让人家看到这个字段了。

5. 页面

页面有新建、编辑、查询页面。大部分场景下，新建、编辑、查询页面所显示的字段信息是一致的，即使用同一个页面布局。为了提高用户体验或输入效率，新建、编辑会与查询页面不同，增加很多交互控制，或功能按钮。

同一个实例，可以配置多个页面，并分配给多个角色，不同角色看到的页面内容不同。注意与字段级权限的配合。比如管理人员看到的商机页面与销售员是不同的，通过配置的方式给管理人员配置页面。

6. 视图

视图可以通俗的理解为列表。可以配置多个视图，并分配给指定用户或团队，不同角色看到的列表中的字段不同。

灵活的系统可以支持用户自行定义视图中放哪些字段、字段的前后顺序和业务数据的排序规则，也可以将多个字段的输入值作为筛选条件、而自定义一个视图。当然，能否自定义视图也是需要权限控制的。每个业务数据会有默认的视图。同样，需要注意与字段级权限的配合，即使增加了不可见字段，列表显示字段值为“-”或“****”。