# 数据权限
# 一、数据权限层级体系
# 1. 权限类型矩阵
| 权限类型 | 控制范围 | 设置位置 | 典型应用场景 |
|---|---|---|---|
| 访问权限 | 模块可见性 | 模块权限设置 | 控制谁能进入模块 |
| 数据权限 | 数据可见性 | 数据权限设置 | 控制能看到哪些数据 |
| 操作权限 | 数据操作权 | 操作权限设置 | 控制能执行哪些操作 |
# 二、数据可见性配置详解
# 1. 数据权限选项说明
| 选项 | 数据可见范围 | 适用场景 | 补充说明 |
|---|---|---|---|
| 全部 | 所有数据 | 公共数据看板 | 默认设置 |
| 部门 | 本部门数据 | 分部门数据管理 | 需配合组织架构 |
| 私密 | 仅自己数据 | 个人工作记录 | 如商机管理 |
| 领导可见 | 附加上级可见 | 垂直管理场景 | 作为以上权限的补充 |
# 2. 配置步骤(以部门数据隔离为例)
- 进入模块设计界面 → 高级设置 → 权限设置
- 在"数据权限"区域:
- 选择"部门"选项
- 勾选"领导可见"(如需)
- 点击保存应用设置
# 三、操作权限精细控制
# 1. 操作权限选项
| 权限项 | 功能说明 | 风险提示 |
|---|---|---|
| 新增 | 创建新记录 | 低风险 |
| 编辑 | 修改现有记录 | 需谨慎分配 |
| 删除 | 移除记录 | 高风险操作 |
# 2. 常用权限方案
# 方案一:基础安全设置(推荐)
Everyone:
- 新增: ✅
提交人:
- 编辑: ✅
- 删除: ✅
- 所有人可新增数据
- 只能修改和删除自己创建的数据
- 适用场景:个人工作台
# 方案二:协作型设置
Everyone:
- 新增: ✅
- 编辑: ✅
- 删除: ✅
- 所有人拥有全部操作权限
- 适用于协作紧密的团队
- 适用场景:公共协作空间
# 方案三:管理员监督制
Everyone:
- 新增: ✅
提交人:
- 编辑: ✅
管理员:
- 编辑: ✅
- 删除: ✅
- 普通用户只能新增和编辑自己的数据
- 管理员可编辑和删除所有数据
- 适用场景:需要监管的敏感数据
# 四、高级权限管理
# 4.1 特殊情况处理
人员离职处理:
- 设置管理员拥有所有数据的操作权限
- 定期进行权限审计和调整
数据交接流程:
- 通过工作流实现数据所有权转移
- 建立规范的数据管理流程
# 4.2 最佳实践建议
权限最小化原则:
- 只授予完成工作所必需的最低权限
- 定期审查和调整权限设置
分层管理:
- 普通用户:个人数据管理
- 部门经理:部门数据监督
- 系统管理员:全局数据管理
文档化记录:
- 记录权限分配决策原因
- 建立权限变更审批流程
# 五、权限生效验证
# 5.1 测试方法
- 使用不同权限的测试账号登录
- 验证数据可见性是否符合预期
- 检查操作权限是否正确限制
# 5.2 常见问题排查
- 权限不生效:检查是否保存设置,重新登录验证
- 数据看不到:确认数据权限设置和用户部门归属
- 操作被禁止:检查操作权限配置和用户角色
# 六、总结
通过数据权限和操作权限的配合使用,可以实现:
- 数据隔离:确保用户只能访问授权范围内的数据
- 操作控制:精确管理用户对数据的操作权限
- 安全管理:防止数据泄露和误操作
- 合规性:满足企业内部控制和审计要求
通过本指南,您可以构建精细化的数据权限体系,实现"谁能看到什么数据"和"谁能操作哪些数据"的精准控制。建议根据业务敏感度采用渐进式权限策略,并定期审查权限分配情况。