权限可以是独有的，也可以是继承的。每个角色都有自己的权限集，角色继承其实也就是继承父系角色的权限，一般角色在继承其父系角色的全部权限的基础上增加拥有一些自己的权限。而系统角色继承往往存在于用户分级管理比较明确的团队或者公司;

　　(5)角色互斥：角色包含的权限互斥

　　角色互斥的业务背景：当一个业务流程由于风控的原因，需要将其操作给划分成分开的几个步骤时，需要给这几个不同的步骤授权不同的角色，并且这些角色之间需要进行互斥。比如大额财务报销审批流程，财务人员【小张】拥有了审批人权限后，就无法将审核确认的权限再授予小张，以此来规避一个人完成大额报销而带来的财务风险;

　　(6)临时角色

　　临时角色往往是针对特殊群体设置的，比如公司有特殊访问团队莅临，需要给这些特殊的客户一些临时身份来体验某些功能操作。那么把这些人添加到部门的组织架构中显然是不合适的，因为这些人只是临时的摆放者，不是企业员工;其次，这些客户需要体验的功能操作往往是横跨多个业务模块和产品线的(比较繁杂)，一般公司并没有现成的固定角色符合拥有客户所需的全部操作权限，因此需要给这些客户开设临时角色，并且支持给临时角色最大的权限选择空间;

　　(7)黑白名单

　　3. 权限管理

　　(1)权限管理

　　权限管理更多是从功能菜单、功能操作、数据参数三个不同颗粒度等级来考量的。具体颗粒度的大小视公司结构和团队规模而定，如果不是业务属性一定要求将权限控制到非常精细的级别，其实就没有必要将权限的颗粒度拆分到具体某一项操作或者某一个按钮，毕竟后台产品的核心是业务管理平台，主要目标是辅助业务的管理和推进。

　　注：如图为某一后台产品的部分截图，其中可见功能菜单页、功能操作按钮和数据字段。

　　(2)功能菜单权限

　　对于后台产品来讲，针对功能菜单来划分用户权限其实是比较粗颗粒度的一种管理方式，这种模式下用户一旦获得授权即可使用该菜单栏下的全部数据查看权限和功能操作权限;

　　(3)功能操作权限

　　功能操作层级的权限相对于功能菜单会更为深入，这种情况下，不同角色的用户可以进入同一菜单页后台查看相同的数据字段信息，但是他们可执行的功能操作不同;

　　(4)数据字段权限

　　数据字段层面是较细颗粒度的拆分，他会实现不同角色用户在进入同一菜单页后台时，可见的数据字段都有差异。比如销售人员进入某销售业绩管理后台时，可以看到自己的业绩提升数据，但是财务人员看到的是业务工单的费用字段，这些字段共存在一个菜单页中，只是受限于不同的角色权限而已。

　　三. 案例分析

　　1. 促销活动权限系统权限对接

　　以某一促销活动的后台从无权限限制到接入用户角色权限管理系统为例，详情如下：

　　注：以上为某产品的促销活动管理后台截图

　　2. 促销活动后台接入权限系统前

　　在促销活动后台接入权限系统之前，几乎全部的系统权限都处于裸奔的状态，所有人业务线成员都可以查看该后台的运营活动内容和运营结果数据，并且可以执行相对敏感的操作。这种情况显然是存在一定的管理风险的，因此该后台系统需要对接权限管理系统进行系统化管理和风险控制;

　　3. 促销活动后台接入权限系统时

　　促销活动在接入权限管理系统过程中，需要拆解该功能模块的权限元素(到一定颗粒度)，因此需要根据业务特征来判断需要拆分的颗粒度，是到功能菜单、功能操作还是数据字段的级别，明确拆分颗粒度之后，权限管理系统才可以给不同角色按照颗粒度授予权限;

　　4. 促销活动后台接入权限系统后

　　促销活动在接入权限管理系统过程后，当对应角色的用户再次登录这个后台时，首先后台会校验该用户的角色是否拥有该功能模块的权限，以及该角色权限对应的操作权限和数据字段权限，校验结果经服务端处理会在产品端展示给用户可见。这个时候，同一用户再该后台可见和可执行的操作与接入权限管理系统之前可能有很大的不同，这就是基于用户角色的权限管理系统带来的改变。

　　四. Q&A

　　1. 一个用户拥有多个角色，多角色之间如果存在互斥关系如何处理?