更新

40-平台与架构/基础平台/基础平台产品设计.md

@@ -37,7 +37,7 @@
 - 统一 Token 认证鉴权
 - 统一门户与菜单聚合
 - 应用 iframe 容器
-- 角色与权限管理
+- 角色管理与权限授权
 - 菜单与应用入口管理
 - 基础配置管理
 - 操作日志
@@ -81,7 +81,7 @@
 - 统一 Token 认证鉴权
 - 统一门户与菜单聚合
 - 应用 iframe 容器
-- 角色权限管理
+- 角色授权管理
 - 菜单与应用入口管理
 - 基础配置管理
 - 消息与待办基础能力
@@ -107,7 +107,7 @@
 | --- | --- |
 | 平台超级管理员 | 管理客户、系统应用、全局配置、平台级账号 |
 | 客户管理员 | 管理本客户下组织、用户、角色、权限、菜单 |
-| 产品管理员 | 管理某个业务产品的菜单、权限项、接入配置 |
+| 产品管理员 | 管理某个业务产品的菜单、菜单操作权限、接入配置 |
 | 实施人员 | 初始化客户组织、账号、权限、配置 |
 | 客服 / 运维人员 | 查询账号、权限、日志、消息状态，协助排查问题 |
 | 业务系统用户 | 通过基础平台获得账号、权限、菜单、消息和待办 |
@@ -120,7 +120,7 @@
 
 #### 3.2.2 新产品接入
 
-产品管理员将新业务系统注册到基础平台，配置应用入口、菜单、权限项和可授权范围。
+产品管理员将新业务系统注册到基础平台，配置应用入口、菜单、菜单操作权限和可授权范围。
 
 #### 3.2.3 客户开通业务产品
 
@@ -144,17 +144,17 @@
 | 应用 | 接入基础平台的业务系统 | 例如连锁业务对账系统、分账系统、聚合支付 |
 | 组织 | 客户内部管理结构 | 例如总部、品牌、区域、门店、部门 |
 | 用户 | 使用系统的自然人 | 可属于一个或多个组织 |
-| 账号 | 用户登录系统的身份标识 | 与用户关联 |
+| 账号 | 用户登录系统的身份标识 | 与用户关联，可来自平台账号或第三方账号 |
 | 登录会话 | 用户登录后形成的访问状态 | 用于支撑跨应用访问 |
 | Token | 用户访问应用和接口的认证凭证 | 由基础平台统一签发和校验 |
 | 门户框架 | 基础平台统一页面框架 | 包含头部、左侧菜单、Tab、内容区 |
 | 应用入口 | 业务应用在基础平台中的访问入口 | 可指向基础平台页面或 iframe 应用页面 |
 | 已打开页签 | 用户在门户中打开的页面 Tab | 可关联基础平台页面或业务应用页面 |
 | iframe 容器 | 基础平台承载业务应用页面的容器 | 用于嵌入业务应用界面 |
-| 角色 | 权限集合 | 例如客户管理员、财务主管、门店店长 |
-| 权限项 | 系统可控制的功能或操作 | 例如查看、创建、修改、审核、导出 |
+| 角色 | 权限集合 | 例如客户管理员、财务主管、门店店长、督导 |
+| 操作权限 | 菜单或页面下可控制的功能操作 | 例如查看、创建、修改、审核、导出 |
 | 菜单 | 用户可见的系统导航入口 | 与应用和权限关联 |
-| 数据范围 | 用户可查看或操作的数据边界 | 例如全部、指定组织、指定门店 |
+| 数据范围 | 用户可查看或操作的数据边界 | 例如全部、指定组织、指定门店；督导可配置为负责部分门店 |
 | 配置项 | 可被客户或系统配置的参数 | 例如启用状态、业务开关 |
 | 消息 | 系统向用户发送的通知 | 可包含待办、通知、提醒 |
 | 操作日志 | 用户在系统中的关键操作记录 | 用于审计和排查 |
@@ -165,16 +165,18 @@
 - 一个客户下可建立多级组织。
 - 一个用户归属于一个客户。
 - 一个用户可关联多个组织，但必须有一个默认组织。
+- 一个用户可绑定多个登录账号。
+- 一个登录账号同一时间只能绑定一个用户。
 - 一个用户可拥有多个角色。
 - 一个用户登录基础平台后，可在已授权应用之间进行单点访问。
 - 各业务应用访问时，Token 认证鉴权统一由基础平台完成。
 - 基础平台统一聚合所有应用菜单。
 - 业务应用不再独立渲染系统级菜单。
 - 业务应用页面通过 iframe 方式嵌入基础平台内容区。
-- 一个角色可包含多个权限项。
-- 一个权限项归属于一个应用。
-- 一个菜单归属于一个应用，并可绑定权限项。
-- 一个用户最终可访问的菜单和功能，由客户开通应用、用户角色、权限项和数据范围共同决定。
+- 一个角色可包含多个菜单权限和操作权限。
+- 操作权限归属于具体菜单或页面。
+- 一个菜单归属于一个应用，并可配置菜单下操作权限。
+- 一个用户最终可访问的菜单和功能，由客户开通应用、用户角色、菜单权限、操作权限和数据范围共同决定。
 
 ## 5. 功能模块设计
 
@@ -191,12 +193,10 @@
 | 5.5 | 单点登录与统一认证鉴权 | [05-单点登录与统一认证鉴权.md](./功能模块/05-单点登录与统一认证鉴权.md) |
 | 5.6 | 统一门户与应用容器 | [06-统一门户与应用容器.md](./功能模块/06-统一门户与应用容器.md) |
 | 5.7 | 角色管理 | [07-角色管理.md](./功能模块/07-角色管理.md) |
-| 5.8 | 权限管理 | [08-权限管理.md](./功能模块/08-权限管理.md) |
-| 5.9 | 菜单管理 | [09-菜单管理.md](./功能模块/09-菜单管理.md) |
-| 5.10 | 基础配置管理 | [10-基础配置管理.md](./功能模块/10-基础配置管理.md) |
-| 5.11 | 消息与待办 | [11-消息与待办.md](./功能模块/11-消息与待办.md) |
-| 5.12 | 操作日志 | [12-操作日志.md](./功能模块/12-操作日志.md) |
-| 5.13 | 数据字典 | [13-数据字典.md](./功能模块/13-数据字典.md) |
+| 5.8 | 基础配置管理 | [08-基础配置管理.md](./功能模块/08-基础配置管理.md) |
+| 5.9 | 消息与待办 | [09-消息与待办.md](./功能模块/09-消息与待办.md) |
+| 5.10 | 操作日志 | [10-操作日志.md](./功能模块/10-操作日志.md) |
+| 5.11 | 数据字典 | [11-数据字典.md](./功能模块/11-数据字典.md) |
 
 ## 6. 跨模块业务规则
 
@@ -300,7 +300,7 @@
 - iframe 应用嵌入
 - Tab 与 keepalive
 - Token 共享与有效期管理
-- 角色权限管理
+- 角色授权管理
 - 菜单展示控制
 - 应用开通控制
 - 数据范围控制
@@ -402,9 +402,9 @@
 | 模块 | 验收项 | 是否必须 |
 | --- | --- | --- |
 | 客户管理 | 支持客户新增、编辑、停用、客户编码生成、客户类型、所属行业、应用开通、客户管理员维护 | 是 |
-| 应用管理 | 支持应用新增、编辑、启停、入口配置、菜单配置、权限项配置、可授权范围配置、已开通客户查看 | 是 |
-| 组织管理 | 支持多级组织树和组织停用 | 是 |
-| 用户管理 | 支持用户、账号、组织、角色维护 | 是 |
+| 应用管理 | 支持应用新增、编辑、启停、入口配置、菜单配置、菜单操作权限配置、可授权范围配置、已开通客户查看 | 是 |
+| 组织管理 | 支持客户组织树、新增、编辑、启停、调整上级组织、组织负责人维护和组织操作记录 | 是 |
+| 用户管理 | 支持用户查询、新增、编辑、启停、新增用户默认以手机号创建平台账号、第三方账号绑定 / 解绑、平台账号密码重置、所属组织、默认组织和角色分配 | 是 |
 | 单点登录 | 支持一次登录访问多个已授权应用 | 是 |
 | Token 认证鉴权 | 所有应用 Token 认证鉴权均通过基础平台完成 | 是 |
 | Token 刷新 | 支持基础平台门户统一刷新 Token 并同步给已打开 iframe 应用 | 是 |
@@ -416,8 +416,6 @@
 | Tab 与 keepalive | 支持已打开页面 Tab 管理和状态保持 | 是 |
 | Token 共享 | 支持已打开 iframe 应用共享基础平台 Token | 是 |
 | 角色管理 | 支持角色授权和数据范围配置 | 是 |
-| 权限管理 | 支持应用、菜单、操作、数据范围控制 | 是 |
-| 菜单管理 | 支持菜单层级、排序、启停和权限绑定 | 是 |
 | 配置管理 | 支持平台、客户、应用配置 | 是 |
 | 消息待办 | 支持消息查询、已读未读、待办跳转 | 是 |
 | 操作日志 | 支持关键操作记录和查询 | 是 |