跳到主要内容

4. 角色与权限管理

权限管理的核心原则是 “最小权限原则” (Least Privilege):用户只应拥有完成其工作所需的最小权限集合。本系统采用 RBAC (Role-Based Access Control) 模型,通过“用户 -> 角色 -> 权限”的关联,实现高效、灵活的权限管控。

🎯 核心概念

  • 角色 (Role):一组权限的集合(如:“律师”、“财务”)。
  • 权限 (Permission):具体的操作能力(如:“查看客户列表”、“删除案件”、“导出报表”)。
  • 成员 (Member):被赋予了一个或多个角色的具体用户。

💡 优势:当员工转岗时,只需调整其角色,无需逐个修改几十项具体权限,极大降低运维成本。

🏛️ 系统预置角色详解

系统内置了 6 个标准角色,覆盖了律所/企业的主要职能。建议优先使用预置角色,仅在特殊需求下创建自定义角色。

角色名称角色代码 (Code)核心定位典型权限范围
👑 管理者ROLE_ADMIN超级管理员拥有系统所有权限。可配置全局设置、管理所有角色、查看全量数据、执行删除操作。仅限核心 IT 或合伙人持有。
💰 财务ROLE_ACCOUNTING资金与票据管理专注于财务管理模块。可查看/录入收款、开票、支出审批;查看财务报表;无权查看案件细节或客户隐私(除非授权)。
📊 报表ROLE_REPORTER数据分析与审计专注于数据可视化。拥有全系统的只读查询权,可生成各类统计报表、导出数据分析结果;不可进行增删改操作。适合风控或总助。
⚖️ 律师ROLE_LAWYER案件业务核心专注于案件与客户管理。可录入案件、跟进客户、上传文书、发起审批;仅可见自己负责或团队共享的案件/客户。
📈 销售人员ROLE_SALES线索与商机转化专注于市场与客户开发。可录入线索、管理公海池、跟进潜在客户;无权查看已立案的详细卷宗或财务数据。
📢 行政ROLE_ADMIN_STAFF日常运营支持专注于基础事务。可管理公告、会议室预订、办公用品申请、通讯录维护;无案件和财务的核心业务权限。

⚠️ 注意:预置角色的权限模板由系统定义,您可以复制预置角色创建副本进行修改,但不建议直接修改预置角色的核心权限,以免系统升级时冲突。

🛠️ 角色管理实操指南

进入路径:左侧菜单【团队管理】 > 【角色管理】

1. ➕ 新建角色

当预置角色无法满足特定部门(如“知识产权部”、“涉外业务组”)的精细化需求时,需创建自定义角色。

操作步骤:

  1. 点击页面右上角的 + 新建角色 按钮。
  2. 填写基本信息
    • 角色名称:如“实习律师”、“高级合伙人”。
    • 角色代码:系统自动生成 ROLE_XXX 角色代码,也可手动修改(需保持唯一,英文小写)。
    • 描述:简述该角色的职责范围。
  3. 点击 下一步:配置权限

2. 🔐 配置权限 (Configure Permissions)

这是角色管理的核心。系统将权限划分为不同模块,支持勾选式配置。

权限维度说明:

  • 菜单权限:决定用户左侧导航栏能看到哪些模块(如:能否看到“财务报表”)。

  • 操作权限:决定用户对数据能做什么(增、删、改、查、导出、打印)。

操作步骤:

  1. 在权限配置树中,展开各个模块(如:客户管理、案件管理、财务管理)。
  2. 勾选或取消权限点。
  3. 点击 保存角色

💡 最佳实践

  • 对于“删除”权限,建议单独创建一个“高级编辑”角色,而不是给普通员工。
  • 配置完成后,建议使用测试账号登录验证权限是否符合预期。

3. 👥 配置人员

角色创建好后,需要将具体的用户关联到该角色上。

方式 A:在角色详情页添加成员

  1. 进入目标角色的详情页,点击 【成员管理】 按钮。
  2. 点击 + 添加成员
  3. 在弹出的用户列表中,勾选一个或多个用户。
  4. 点击 确认
    • 效果:这些用户立即获得该角色的所有权限。

方式 B:在用户详情页调整角色

  1. 进入 团队成员管理,编辑某个用户。
  2. 在“所属角色”字段,勾选或取消相应的角色。
  3. 点击 保存
    • 效果:用户的权限实时更新。一个用户可以拥有多个角色(权限取并集)。

4. ✏️ 编辑角色

当业务流程变更时,需调整角色的权限范围。

操作步骤:

  1. 找到目标角色,点击 ✏️ 编辑
  2. 修改基本信息:可更改角色名称或描述
  3. 点击 保存
    • 系统会自动通知所有关联成员:“您的权限已更新”。

5. 🗑️ 删除角色

移除不再使用的自定义角色。

操作步骤:

  1. 找到目标角色,点击 🗑️ 删除
  2. 前置检查
    • 若该角色下仍有成员,系统将阻止删除,提示“请先移除所有关联成员”。
    • 必须先进入【成员管理】将该角色的所有用户移除或转移至其他角色。
  3. 系统保护
    • 预置角色(如 ROLE_ADMIN, ROLE_LAWYER 等)不可删除
  4. 二次确认后,执行删除。

⚠️ 风险提示:删除角色后,原属于该角色的权限配置将丢失。若未来重新创建同名角色,需重新配置权限。

✅ 常见问题 (FAQ)

Q: 一个用户可以拥有多个角色吗?

A: 可以。例如,某用户既是“律师”又是“部门经理”。他的最终权限是这两个角色权限的并集(即拥有两者的所有权限)。

Q: 如果我想让某个律师也能看财务报表,怎么办?

A: 不需要修改“律师”角色(否则所有律师都能看了)。只需给该特定用户额外分配一个“财务-只读”的自定义角色,或者在用户详情页临时勾选财务相关权限(若系统支持)。

Q: 为什么我修改了角色权限,用户那边没变化?

A: 权限通常是实时生效的。若未生效,请让用户退出并重新登录,以刷新本地缓存和 Token。

Q: “管理者”角色可以删除吗?

A: 绝对不可以。系统强制要求至少保留一个有效的 ROLE_ADMIN 账号,以防止系统陷入无人管理的状态。

下一步:角色与人员配置完成后,您可以前往 公告管理 发布全员通知,告知大家新的权限规范;或直接进入 客户管理篇 开始业务实操。

最后 更新