惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

P
Palo Alto Networks Blog
S
Security Affairs
T
Tor Project blog
T
Threatpost
Hacker News - Newest:
Hacker News - Newest: "LLM"
C
Cyber Attacks, Cyber Crime and Cyber Security
The Hacker News
The Hacker News
A
Arctic Wolf
K
Kaspersky official blog
O
OpenAI News
Spread Privacy
Spread Privacy
人人都是产品经理
人人都是产品经理
爱范儿
爱范儿
Simon Willison's Weblog
Simon Willison's Weblog
雷峰网
雷峰网
P
Privacy & Cybersecurity Law Blog
Know Your Adversary
Know Your Adversary
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Last Week in AI
Last Week in AI
Martin Fowler
Martin Fowler
量子位
博客园_首页
Cyberwarzone
Cyberwarzone
博客园 - 三生石上(FineUI控件)
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
IT之家
IT之家
N
News and Events Feed by Topic
博客园 - 司徒正美
V2EX - 技术
V2EX - 技术
S
Schneier on Security
博客园 - 叶小钗
Attack and Defense Labs
Attack and Defense Labs
AI
AI
Application and Cybersecurity Blog
Application and Cybersecurity Blog
博客园 - 【当耐特】
Jina AI
Jina AI
C
CXSECURITY Database RSS Feed - CXSecurity.com
C
Cybersecurity and Infrastructure Security Agency CISA
D
Darknet – Hacking Tools, Hacker News & Cyber Security
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
大猫的无限游戏
大猫的无限游戏
Cloudbric
Cloudbric
H
Hacker News: Front Page
The Last Watchdog
The Last Watchdog
V
V2EX
S
SegmentFault 最新的问题
V
Visual Studio Blog
PCI Perspectives
PCI Perspectives
Microsoft Security Blog
Microsoft Security Blog

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
权限的游戏:浅谈产品权限分析与设计
产品锦李 · 2023-02-05 · via 人人都是产品经理

合理的权限管理方案将有利于处理更多事务,提升操作效率,也降低风险发生的可能性。使用者能够在有限范围内使用资源,管理者基于系统进行资源分配。本篇文章讲解了4种访问控制授权方案,一起来看一下。


目前我们使用的访问控制授权方案,主要有以下4种:

  1. DAC自主访问控制
  2. ACL 访问控制列表
  3. MAC强制访问控制
  4. RBAC 基于角色的访问控制

笔者将拆解和分析这4种权限管理方案的逻辑,并告诉你,这4种权限分别可以运用在什么样的场景中,以及它们应该怎么设计。

一、DAC自主访问控制

DAC(DiscretionaryAccess Control)自主访问控制方式:该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。

《信息系统系项目管理师教程》(第3版)P656

权限的游戏:浅谈产品权限分析与设计

如上图所示,我们假设有两名用户(用户1、用户2)和4个权限(权限1~4),用户1指明能够访问权限1和权限2,用户2指明能够访问权限3和权限4,授权成立之后就会出现如下的情况:

权限的游戏:浅谈产品权限分析与设计

用户1可以正常访问权限1和权限2,但是如果想访问权限3或权限4,由于自身权限列表中没有这2个权限,所以不允许访问;用户2也是相同道理,可以访问权限3和权限4,但无法访问权限1和权限2。

这种授权方式适用于用户少权限多的场景,常见于网盘的资源分享中.

用过网盘的人都知道,网盘的分享功能就是选择想要分享的文件,点击分享,这个时候会生成分享链接,而这个分享链接,其实就是一个“用户对象”,这个“用户对象”指定了可以访问我们所选取的文件,这样当我们把链接分享出去的时候,打开链接的人就可以看到我们所选取的文件,但对于我们没有选取的网盘内的其他文件,是无法看到的。

同理,这个时候如果我选取另外的文件并创建新的分享链接,则等同于创建了一个新的“用户对象”,虽然新的分享链接中的文件可能与之前的分享链接中的文件重叠甚至完全相同,但是访问的时候,本质上还是根据不同的“用户对象”访问他们被指定允许访问的资源。

权限的游戏:浅谈产品权限分析与设计

二、ACL 访问控制列表

ACL(AccessControlList)访问控制列表方式:该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。如果某个用户不在访问控制列表中,则不允许该用户访问这个资源。

《信息系统系项目管理师教程》(第3版)P656

从定义上来看,这种授权方式跟上一种授权方式本质是一样的,但是授权的逻辑相反。

权限的游戏:浅谈产品权限分析与设计

如上图,权限1和权限2分别指明允许用户1访问,权限3和权限4分别指明允许用户2访问。同样的,如果用户1想要访问没有被授权的权限3和权限4的时候,便访问不了。

权限的游戏:浅谈产品权限分析与设计

这种授权方式与上一种授权方式适用的场景相反,更适用于权限少用户多的场景,常用于“抄送”功能中,比如发邮件时候的抄送功能,或者 OA 系统审批后的抄送功能,添加抄送人的过程其实就是针对当前的这个权限(邮件或审批单)指明允许哪些用户访问的过程。

权限的游戏:浅谈产品权限分析与设计

三、MAC 强制访问控制

MAC(MandatoryAccess Control)强制访问控制方式,该模型在军事和安全部门中应用较多,‍目标具有一个包含等级的安全标签(如:不保密、限制、秘密、机密、绝密);访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标:例如允许访问秘密级信息,这时,秘密级、限制级和不保密级的信息是允许访问的,但机密和绝密级信息不允许访问。

《信息系统系项目管理师教程》(第3版)P656

权限的游戏:浅谈产品权限分析与设计

如上图,假设有4个标签,标签1~4分别对应权限1~4(实际设计中,一个标签可能对应多个权限),标签等级为:标签1 > 标签2 >标签3 > 标签4,如果定义了用户1为标签2,用户2为标签3,如下:

权限的游戏:浅谈产品权限分析与设计

则有:

权限的游戏:浅谈产品权限分析与设计

如上,用户1可以访问标签2及其等级以下的权限(权限2、3、4),用户2可以访问标签3及其等级以下的权限(权限3、4)。

如上文所述,“该模型在军事和安全部门中应用较多”,因此在我们平时的产品中比较少接触到,接下来我随便画画,根据上文的定义尝试分析一下这个权限在做产品时可以怎么设计。

首先需要有设计一个“标签管理”页面:

权限的游戏:浅谈产品权限分析与设计

标签需要有等级关系,等级可以手动输入,但注意等级不能相同,保存后如需调整等级,注意调整前需做好二次确认,一旦标签等级调整,意味着权限也会跟着变化,当标签从低等级往高等级调整时,会给已关联的用户释放更多的权限;删除标签时,如果标签已关联了用户,需要求取消用户关联,否则删除后,所关联的用户将失去所有权限,无法正常访问。

接着需要一个“标签编辑”页:

权限的游戏:浅谈产品权限分析与设计

注意这里的等级不能与其他已添加的标签等级相同,标签名称原则上也不能相同,权限中,已经被其他标签关联的权限需要隐藏或不允许选择,否则如果一个高级别的标签跟一个低级别的标签都关联了同一个权限,这样根据等级授权就没有意义了;

把关联用户也放在标签管理页,是因为标签与用户是一对多的关系,这样配置起来效率更高,同样需要注意,已关联了标签的用户这里需要隐藏或不允许选择,也可以在用户管理页面增加关联用户标签的设计。

四、RBAC 基于角色的访问控制

RBAC(Role-BasedAccess Control)基于角色的访问控制方式:该模型首先定义一些组织内的角色,如局长、科长、职员;再根据管理规定给这些角色分配相应的权限,最后对组织内的每个人根据具体业务和职位分配一个或多个角色。

《信息系统系项目管理师教程》(第3版)P656

这种可以说是目前绝大多数系统都在用的一种权限管理方式。

权限的游戏:浅谈产品权限分析与设计

如上图,假设有两个角色,角色1分配权限1和权限2,角色2分配权限3和权限4,用户1、2分别属于角色1、2:

权限的游戏:浅谈产品权限分析与设计

则:

权限的游戏:浅谈产品权限分析与设计

用户1可以访问角色1所拥有的权限1、2。

这种权限管理方式相对于另外3种,更具灵活性,在常规的产品设计中,用户与角色一般是一对一关系,即一个用户只能对应一个角色,但为了增加灵活度,也有系统会设计成一对多关系,即一个用户可以对应多个角色,用户的权限等于所对应的角色权限的总和,甚至还发展出给用户单独授权的设计,就是在用户继承了角色所有权限的基础上,还可以额外再给指定的用户单独授权,这样这个用户就比其他同角色的用户拥有更多权限。

还是随便画画,说说这种权限管理怎么设计。

首先需要一个“角色管理”页面:

权限的游戏:浅谈产品权限分析与设计

系统初始提供一个“超级管理员”角色,该角色拥有所有权限,不可修改,不可删除。

接着是添加角色并授权:

权限的游戏:浅谈产品权限分析与设计

然后是添加用户,除了常规的账号信息,还需要给用户指定一个角色,由此获得相应权限:

权限的游戏:浅谈产品权限分析与设计

在用户列表可以给用户单独授权:

权限的游戏:浅谈产品权限分析与设计

好了,以上便是4种权限管理方式的分析和设计,希望对还没做过权限设计的你有参考价值,感谢阅读!

公众号:产品锦李(ID:IMPM996)

本文由 @产品锦李 原创发布于人人都是产品经理,未经许可,禁止转载。

题图来自Unsplash,基于CC0协议。

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。