惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
CERT Recently Published Vulnerability Notes
U
Unit 42
T
The Blog of Author Tim Ferriss
H
Hackread – Cybersecurity News, Data Breaches, AI and More
B
Blog RSS Feed
Microsoft Azure Blog
Microsoft Azure Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
S
Securelist
L
Lohrmann on Cybersecurity
Blog — PlanetScale
Blog — PlanetScale
Recorded Future
Recorded Future
D
DataBreaches.Net
Spread Privacy
Spread Privacy
T
Threat Research - Cisco Blogs
I
Intezer
P
Palo Alto Networks Blog
Simon Willison's Weblog
Simon Willison's Weblog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
I
InfoQ
宝玉的分享
宝玉的分享
Security Latest
Security Latest
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
T
Threatpost
Cisco Talos Blog
Cisco Talos Blog
P
Proofpoint News Feed
博客园 - 司徒正美
H
Hacker News: Front Page
Y
Y Combinator Blog
爱范儿
爱范儿
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
NISL@THU
NISL@THU
月光博客
月光博客
有赞技术团队
有赞技术团队
Cloudbric
Cloudbric
酷 壳 – CoolShell
酷 壳 – CoolShell
G
Google Developers Blog
A
Arctic Wolf
博客园 - 【当耐特】
W
WeLiveSecurity
V
Visual Studio Blog
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
V
V2EX
C
Cyber Attacks, Cyber Crime and Cyber Security
S
SegmentFault 最新的问题
The GitHub Blog
The GitHub Blog
The Cloudflare Blog
Stack Overflow Blog
Stack Overflow Blog

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
手把手带你设计B端产品后台(2)——权限篇
一直产品汪 · 2022-12-19 · via 人人都是产品经理

在系统设计中,账号的用户权限设计是最令人头痛的,但又有着至关重要的作用。本文就B端产品后台的用户权限该如何设计展开探讨,总结了自己在实战中的相关经验,希望对你有所启发。

前一篇文章账号篇跟大家聊了聊产品后台的基本逻辑和账号体系设计相关的经验。本文继续聊最让人头痛的用户权限设计。

开始之前,先回顾一下后台信息的分类,对于理解用户权限设计有至关重要的作用。后台最核心的对象就是数据,B端后台一切的操作行为,本质上是对数据增、删、改、查的操作。

数据可以大体分为:

  • 产品数据(文图音视等数字内容、实体商品、算法模型等)。
  • 用户信息(个人资料、账号、权限、组织等)。
  • 用户行为数据(PV、UV、点击、用户反馈等)。
  • 业务数据(如用户的订单、商家的库存、发布的内容等)。

带有用户信息的账号访问、使用服务商提供的产品数据,在整个过程中会留存大量的访问、点击、跳出等用户行为数据,用户购买产品、发布内容、提交表单等行为会产生业务数据。

一、系统权限的分类

根据笔者的经验,后台的系统权限可以大致分为三类:

  1. 功能权限:该用户在系统中,可以使用哪些功能模块,使用哪些具体的功能。
  2. 数据权限:该用户在系统中,可以访问哪些数据,是否可以对数据进行增、删改、查等操作。
  3. 组织权限:对于B端产品来说,往往也涉及到组织架构。该用户在不同的组织和不同的位置上,天然具有某些权限。比如在OA系统中的审批权限。与功能和数据权限有一些交叉,但是比较重要,所以单独归为一类。

为什么说权限系统复杂呢?有过权限系统设计经验的同仁可能深有体会。

首先,用户前端、用户后台、系统后台都有自己的一套权限体系,而且三者之间也会存在一定的关联关系。三个系统的权限交织在一起,相互依存、相互限制,会导致整体的权限系统极其难以设计。

其次,功能权限、数据权限和组织权限同样是密不可分的。在一个组织特定位置的用户,其权限一定涉及功能权限和数据权限。访问功能的同时,一定会涉及到调取数据。而数据的访问,也必然也要依赖数据查询相关功能的支持。

最后,权限系统是要为业务服务的。需要根据业务合理设计权限系统,为相应的账号赋予满足业务需求的权限。但是不同的业务有不同的特点、流程、客户&用户需求,那么权限系统必然也会因此产生各种个性化、定制化的需求。

二、系统权限的设计原则

既然后台权限的设计如此复杂和困难,那么我们如何掌握设计后台权限的方法论呢?

笔者先介绍几个设计原则,然后各位读者可以结合后续的具体方法论进行实际的体会。

原则1 权限系统要为业务服务

这一条原则不证自明,也是最重要的设计原则。因此也自然要求涉及权限系统之前,一定要把业务逻辑梳理清楚。

原则2 权限系统设计一定要解耦合

无论在产品设计上还是技术架构上,务必注意功能权限、数据权限、组织权限之间和内部的解耦合。如果设计和技术架构不合理,将不同的权限耦合在一起,可能在未来业务变更的时候,出现大坑。

比如,如果将业务入口的权限和其内部具体功能模块的权限耦合起来。一旦页面需要调整业务入口,那么其内部功能模块都可能会受到影响。

原则3 权限系统设计要有兼容性

业务是不断变化的,其相应的权限也一定会随之变化,因此权限系统设计要保证兼容性,避免因为写死、没有为新功能留后路等导致无法适应业务的发展。

原则4 权限系统设计要尽量简洁

奥卡姆剃刀原理告诉我们,“如非必要,勿增实体。”权限系统本身就是复杂性很高的系统,每增加一个要素,其设计和开发、测试复杂度都会激增。因此在满足解耦合和兼容性的基础上,权限系统设计要尽量简洁。在成本和效率、长期和短期等之间寻找平衡。

原则5 从前台到后台依次设计

建议从用户前端、用户后台、系统后台的顺序,从前到后、由易到难的顺序设计权限系统。从简单的权限开始设计,上手会比较容易,而且在设计过程中也能为更复杂权限的设计提供思路。而且一旦设计出现问题,局部优化或推翻重构的成本会更小。

各位读者可以看出,以上的五个设计原则其实也是产品设计原则通用的一些原则。符合用户习惯、易用性、可读性、即时反馈等设计原则权限系统设计同样要遵守。
不过在笔者的过往经历中,认为以上五个原则是最重要的且容易踩坑的地方,因此特意拎出来加以强调。

三、系统权限的设计方法

权限系统的设计一般可以分成如下几种思路:

  • 完全写死。对于非常简单、基本不需要迭代的系统,可以直接写死权限。
  • 设置可选模板。固定几种权限角色,比如超级管理员、管理员、一般用户等,直接将模板关联给账号。适用于权限划分清晰、业务相对简单的系统使用。
  • 可配置的模块化权限系统。将权限通过梳理、归纳,设计为一个个独立的可配置项,允许为每个账号灵活配置权限。该方法最为灵活、普适,但是设计和开发难度最大。

笔者选取难度最大的可配置的模块化权限系统,并且综合功能权限、数据权限、组织权限,讲解权限系统的设计思路。

掌握了最复杂的情况,其它相对简单的权限系统设计自然手到擒来。

1. 系统权限分析

在着手设计之前,建议首先对系统的业务流程和需求、并结合权限进行完整的系统权限分析。

如何合理地分析系统的业务流程和需求,计划放到后续的业务系统重点讲解。如果该系列大家喜欢、且投票踊跃,笔者会坚持继续更新。
分析脑图的样例如下。

脑图中涉及的概念解释如下。

  • 部门:服务客户的组织架构,可能存在多个层级。部门内的员工账号关联到对应的部门下,以和实际的组织架构保持一致。
  • 角色:每种角色作为一种权限设置的集合。可以通过为账号配置角色,让账号获得相应的权限。
    系统:提供服务不同的系统,可能为用户前端、用户后台、系统后台。
  • 模块:系统中的功能模块。可能存在多个层级。比如旅行软件,可以分为机票、酒店、火车票出行等,出行又可以分为网约车、租车等。
  • 功能:根据业务需求,需要管控功能的最小颗粒度,比如网约车可以分为快车、专车、拼车,以及因公付款、个人垫付等。注意功能拆分一定要遵循MECE原则,完整且独立。
  • 数据:某些功能可能涉及到数据的增、删、改、查,比如说账号管理、用户发布内容管理等权限。

需要特殊说明的是,考虑到组织是客户实际存在的组织架构,且有可能用到多个系统。因此把部门作为第一层级。

这样去做梳理,可能对产品经理的全局观和逻辑思维能力要求比较高,但是更符合实际业务情况。最终完成的权限系统兼容性也更强。
如果只负责一个系统,那么也可以以系统为第一层级,先把自己负责系统的权限梳理清楚。
注意如果多个系统是统一的账号体系、且存在一个部门使用多个系统的情况,也需要与相关的产品同时做好同步,保证大家都设计思路一致。否则万一后续要做系统之间的整合,那么重构的工作量会大大增加。

2. 系统权限设计

根据梳理出的权限系统脑图,就可以比较清晰、方便地完成系统权限的产品设计工作。

笔者简单模拟了一个系统权限的线框图,以方便各位读者理解。

首先设计部门列表,根据客户的组织架构设计各级部门的列表和显示重要的字段即可。对部门的操作同样包括增、删、改、查。

然后是部门下的员工列表。每一个员工即代表一个可使用系统的实际账号。那么如何快速为不同的账号配置权限呢?

关键在于角色这个字段的设计。在实际组织中,虽然一个部门内有很多的员工组成,但是可以按照其工作属性进行分类。比如从职级维度,部门长、组长、员工、实习生等等。从职能上划分,财务、会计、销售、售前、售后等等。
有了角色,我们便可以根据该角色在系统中承担的业务范围,为其分配不同的系统权限,避免相同权限的账号要重复配置。

下一步就是角色管理​。根据业务需要,可以为该部门在不同的系统中设置角色,以满足该部门员工在不同系统中的​业务需求。

为了使用方便,可以提供一些系统中最常见的角色模板,方便客户的管理员直接使用,比如超级管理员、管理员等​。

其中比较特殊的是超级管理员,其是一个系统中配置账号的最基本、默认要有的角色​。其最起码应当有最全的账号管理权限,以为其它同事创建账号、分配权限​。故该角色不应当被编辑和删除​。

如果默认的角色模板不能满足业务需求,还可以再新增角色​,完成个性化的权限设置。

最后也是最重要的,就是角色​具体的权限设置。包括角色名称、角色权限配置、角色备注等​字段。

权限配置就是将脑图中拆解的各模块的功能权限和数据权限罗列出来,以为该角色勾选需要的权限​。

为了使用方便,还可以有复制角色权限的功能(也可以放到角色列表中)​,可以直接沿用已有的、近似的角色权限​,再进行微调,就可以快速完成一种新角色的添加。

3. 系统权限拾遗

本文主要讲统一的设计方法论,也不宜结合具体的​业务案例讲。因为不同业务的差别太大,一旦过于具体,通用性和可迁移性就比较差​。

“授人以渔,而不是授人以鱼”,一直是笔者的经验分享之一。

虽然本文看起来可能也没有想象的那么复杂。但是等到结合具体业务执行的时候,各位同仁就能发现很多困扰和​难以取舍的点。

就比如做系统权限分析时,功能权限拆分到什么颗粒度?如何做到MECE原则要求的完整性和独立性​?

拆得越细,自然越灵活,但是开发成本越高,也越容易出现功能耦合的情况​;但是拆得过粗,可能无法满足业务权限的精确管控​,后续需要拓展时,就需要考虑到新老数据的兼容性问题。

还有账号的角色变更或角色权限变更的时候,是否要即时生效?

如果需要即时生效,就需要每个功能在执行的时候都要校验权限,系统开销​会很高、效率也会很低。

如果只在登录时候访问权限,那么系统权限变更就会存在较大的延迟​。

折中的方案可能是定时刷新账号的权限,那么也可能涉及到主动通知系统前端时机的问题​。

而且当账号使用过程中出现了权限变更的情况​,那么该如何处理?刷新页面隐藏功能还是有新的请求时候报错?

管理员做删除和禁用操作的时候也存在类似的问题。而且删除和禁用的时候一定要判断是否满足删除的条件。

比如删除部门时,要考虑部门下是否还有子部门和账号​,如果有是否允许删除?

再比如删除角色时,如果有账号关联着该角色,是否允许删除​?如果需要先取消所有账号的关联才允许删除,那么如何​方便地批量操作?如果允许直接删除,那么如何方便地为受影响账号分配新的角色?

这些问题,笔者也很难给出标准的、普适的答案,要根据具体的业务情况具体分析​。

本次关系到系统权限的设计经验就分享到这里​。相信大家都能看到笔者的用心,不仅毫无保留地介绍经验,还​贴心地自己画了线框图,以帮助大家理解。码字不易,​请大家投票支持,给笔者继续分享下去的动力!

为我投票

我在参加人人都是产品经理2022年度作者评选,希望喜欢我的文章的朋友都能来支持我一下~

点击下方链接进入我的个人参选页面,点击红心即可为我投票。

每人每天最多可投35票,投票即可获得抽奖机会,抽取书籍、人人都是产品经理纪念周边和起点课堂会员等好礼哦!

投票传送门:https://996.pm/YyDmr

专栏作家

一直产品汪,微信公众号:apmdogy,人人都是产品经理专栏作家。逻辑型产品经理,致力于将科学思维与产品经理方法论结合。关注人工智能、教育领域,擅长产品孵化、需求挖掘、项目管理、流程管理等产品技能。

本文原创发布于人人都是产品经理,未经许可,禁止转载。

题图来自Unsplash,基于CC0协议。

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。