l 不同職責的人員，對于系統操作的權限應該是不同的。優秀的業務系統，這是最基本的功能。

l 可以對 “ 組 ” 進行權限分配。對于一個大企業的業務系統來說，如果要求管理員為其下員工逐一分配系統操作權限的話，是件耗時且不夠方便的事情。所以，系統中就提出了對 “ 組 ” 進行操作的概念，將權限一致的人員編入同一組，然后對該組進行權限分配。

l 權限管理系統應該是可擴展的。它應該可以加入到任何帶有權限管理功能的系統中。就像是組件一樣的可以被不斷的重用，而不是每開發一套管理系統，就要針對權限管理部分進行重新開發。

l 滿足業務系統中的功能權限。傳統業務系統中，存在著兩種權限管理，其一是功能權限的管理，而另外一種則是資源權限的管理，在不同系統之間，功能權限是可以重用的，而資源權限則不能。

針對 OA 系統的特點，權限說明：

權限

在系統中，權限通過 模塊 + 動作 來產生，模塊就是整個系統中的一個子模塊，可能對應一個菜單，動作也就是整個模塊中（在 B/S 系統中也就是一個頁面的所有操作，比如“瀏覽、添加、修改、刪除”等）。將模塊與之組合可以產生此模塊下的所有權限。

權限組

為了更方便的權限的管理，另將一個模塊下的所有權限組合一起，組成一個“ 權限組 ”，也就是一個模塊管理權限，包括所有基本權限操作。比如一個權限組（用戶管理），包括用戶的瀏覽、添加、刪除、修改、審核等操作權限，一個權限組也是一個權限。

角色

權限的集合，角色與角色之間屬于平級關系，可以將基本權限或權限組添加到一個角色中，用于方便權限的分配。

用戶組

將某一類型的人、具有相同特征人組合一起的集合體。通過對組授予權限（角色），快速使一類人具有相同的權限，來簡化對用戶授予權限的繁瑣性、耗時性。用戶組的劃分，可以按 職位、項目 或其它來實現。用戶可以屬于某一個組或多個組。

通過給某個人賦予權限，有 4 種方式 ( 參考飛思辦公系統 )

A. 通過職位

a) 在職位中，職位成員的權限 繼承 當前所在職位的權限，對于下級職位擁有的權限不可繼承。

b) 實例中 ：如前臺這個職位，對于考勤查詢有權限，則可以通過對前臺這個職位設置考勤查詢的瀏覽權，使他們有使用這個對象的權限，然后再設置個，考勤查詢權（當然也可以不設置，默認能進此模塊的就能查詢），則所有前臺人員都擁有考勤查詢的權利。

B. 通過項目

a) 在項目中，項目成員的權限來自于所在項目的權限，他們同樣不能繼承下級項目的權限，而對于項目組長，他對項目有全權，對下級項目也一樣。

b) 實例中 ：在項目中，項目成員可以對項目中上傳文檔，查看本項目的文檔 , 可以通過對項目設置一個對于本項目的瀏覽權來實現進口，這樣每個成員能訪問這個項目了，再加上項目文檔的上傳權和查看文檔權即可。

c) 對于組長，因為可以賦予組長一個組長權（組長權是個特殊的權限，它包含其他各種權限的一個權限包），所有組長對于本項目有全權，則項目組長可以對于項目文檔查看，審批，刪除，恢復等，這些權限對于本項目的下級項目依然有效。

C. 通過角色

a) 角色中的成員繼承角色的權限，角色與角色沒有上下級關系，他們是平行的。通過角色賦予權限，是指沒辦法按職位或項目的分類來賦予權限的另一種方式，如：系統管理員，資料備份員 …

b) 實例中 ：對于本系統中，全體人員應該默認都有的模塊，如我的郵件，我的文檔，我的日志，我的考勤……，這些模塊系統成員都應該有的，我們建立一個角色為系統默認角色，把所有默認訪問的模塊的瀏覽權加入到里面去，則系統成員都能訪問這些模塊。

D. 直接指定

a) 直接指定是通過對某個人具體指定一項權限，使其有使用這個權限的能力。直接指定是角色指定的一個簡化版，為了是在建立像某個項目的組長這種角色時，省略創建角色這一個步驟，使角色不至于過多。

b) 實例中 ：指定某個項目的組長，把組長權指定給某個人。

針對職位、項目組：

如果用添加新員工，員工調換職位、項目組，滿足了員工會自動繼承所在職位、項目組的權限，不需要重新分配權限的功能。

用戶管理

用戶可以屬于某一個或多個用戶組，可以通過對用戶組授權，來對組中的所有用戶進行權限的授予。一個用戶可以屬于多個項目組，或擔任多個職位。

授權管理

將一個基本權限或角色授予用戶或用戶組，使用戶或用戶組擁有授予權限的字符串，如果角色、職位、項目中存在相同的基本權限，則取其中的一個；如脫離角色、職位、項目組，只是取消用戶或用戶組的中此角色、職位、項目組所授予的權限。用戶所擁有的權限是所有途徑授予權限的集合。管理員用戶可以查看每個用戶的最終權限列表。

權限管理

基本操作權限與權限組（基本操作權限的集合）的管理。

OA系統權限管理設計方案