RBAC模型概述

1. 什么是RBAC

RBAC模型：Role-Based Access Control 基于角色得访问控制
通俗说，就是，权限不会直接分配到用户，而是分配到用户所拥有得角色
这样的好处是什么？
好处就是如果用户全体特别大，分配权限就能累死人，基于RBAC更适合企业应用得权限控制

2. RBAC得四大模型

RBAC根据这套模型功能的复杂程度不同，由简单到复杂又可以分为RBAC-0、RBAC-1、RBAC-2、RBAC-3四个层级。

RBAC-0

RBAC-0是最基础的，就是在用户与角色、角色与权限间建立关系，每种关系均为多对多。

RBAC-1

RBAC-1是在RBAC-0的基础上，增加了继承关系。就是一个角色只能有另一角色的部分权限，这个角色的权限大小受另一角色权限影响。
简单说，角色2由角色1派生，那么角色2所有得权限必然小于角色1，角色1拥有权限1，2，而角色2只有拥有权限1

RBAC-2

RBAC-2模型，其实就是角色冲突，一个简单例子，你不能即是老板也是老板秘书，这样关系就乱了
这里就是用户3不能同时拥有角色2，3

RBAC-3

RBAC-3是RBAC-1与RBAC-2的结合，就是既有继承关系，又有限制条件，基础都一样。

3. 权限管理

数据权限

数据权限是指用户是否能够看到某些数据。主要应用在数据有保密要求，或数据量大，需按用户或角色来进行区分时。例如：财务主管在后台可以看到公司所有人的工资流水，但普通员工只能看到自己的工资流水。
在这里，有的同学或许认为，既然我们的权限是跟角色关联，为什么“查看工资流水”这个权限精确到每个用户了呢？
其实这就是RBAC-2的一种，权限与角色关联后增加了限制条件，不过这种限制条件无法在页面上灵活配置。
数据权限的颗粒度由粗到细可以分为菜单级、栏目级、字段级，一般配置页面都可以灵活操作。

操作权限

操作权限是指用户是否能够操作对应按钮。需要先有数据权限，才有操作权限，所以需要增加系统自动校验：

选择了操作权限，就默认勾选了查看（数据）权限；
取消了数据权限，就自动取消了操作权限

以上就是我们做单系统的权限设计分享的内容。在多系统的权限设计中，虽然理论基础一样，但因为涉及到多个系统，所以产生了很多其他问题，需要另外解决。

4. 多级数据权限得控制

有这样一种需求，每个小区管理员之间，只能看到自己小区得数据，很显然他们是同级别得，功能权限相同，但是数据权限不同
对于这种得需求，可以通过硬编码得方式去解决，但是还有一种更好的解决方案
基于用户——部门——角色——权限这样的一种方式来解决，部门与角色关联，类似实际生产生活中的技术部经理和产品部经理的感觉，
这样每个小区可以设置为不同的部门，都是分配一个小区管理员，这样就可以通过部门来划分一个大方向的数据权限了