摘要

代购平台涉及用户、商家、运营、财务、客服、采购等多角色协同，同时包含跨境支付、清关、订单、商品、会员等敏感数据，权限设计直接影响平台安全、合规与运营效率。本文基于 **RBAC（基于角色的访问控制）** 模型，给出一套可直接落地的代购平台用户权限管理系统设计与实现方案，覆盖权限模型、角色划分、功能实现、技术架构与安全加固。

---

一、系统设计目标

1. 职责分离：不同岗位只拥有最小必要权限，避免越权操作。
2. 灵活配置：支持角色批量授权、用户多角色、临时权限与数据范围控制。
3. 安全可控：登录认证、接口鉴权、操作审计、敏感操作防篡改。
4. 业务适配：贴合代购场景 —— 多店铺、多供应商、跨境订单、清关、财务对账。
5. 易扩展：支持后续新增角色、模块、第三方接入（支付、物流、海关）。

---

二、核心权限模型：RBAC 扩展版

采用用户 - 角色 - 权限 - 数据范围四层模型，解决代购平台复杂权限问题。

• 用户（User）：平台操作者（买家、商家、员工、第三方）。
• 角色（Role）：权限集合，如超级管理员、运营、财务、客服、商家、采购、买家。
• 权限（Permission）：菜单访问、按钮操作、接口调用、字段可见性。
• 数据范围（DataScope）：全部数据、本店铺 / 本部门、本人数据、指定数据。

核心设计原则

• 不直接给用户授权，统一通过角色分配。
• 功能权限控制 “能不能做”，数据权限控制 “能看到什么”。
• 支持用户叠加多角色，权限取并集。

---

三、代购平台角色与权限划分

1. 平台端角色（后台）

• 超级管理员全权限：用户管理、角色权限、商家入驻、财务结算、系统配置、日志审计。
• 运营管理员商品管理、活动配置、订单监控、投诉处理、数据报表（不可删改财务）。
• 财务专员订单对账、退款审核、结算管理、发票管理、支付配置（只读订单）。
• 客服专员仅处理售后、咨询、订单查询（不可修改价格、支付、库存）。
• 采购 / 清关专员采购单、物流单、清关资料上传、库存同步（不可接触支付）。

2. 商家端角色

• 商家主账号店铺管理、商品上下架、订单处理、子账号管理、对账。
• 商家运营 / 客服仅操作本店商品、订单、售后，无资金与子账号权限。

3. C 端用户角色

• 游客：浏览商品、搜索。
• 普通用户：注册、下单、支付、订单管理、地址、售后。
• VIP / 代理：额外折扣、团队订单、返利数据（隔离其他用户数据）。

---

四、权限颗粒度设计

1. 菜单权限

控制左侧导航与页面访问：首页、商品、订单、支付、财务、用户、系统、清关、物流。

2. 操作权限

控制按钮与行为：新增、编辑、删除、导出、审核、退款、配置、锁定。

3. 数据权限（代购核心）

• 全部数据：平台管理员。
• 店铺数据：商家仅看本店。
• 部门数据：运营 / 客服仅看本组。
• 个人数据：客服仅看自己接待单。
• 字段权限：隐藏成本价、供应商信息、支付密钥等敏感字段。

---

五、系统功能模块实现

1. 用户管理

• 用户注册 / 登录 / 锁定 / 解冻 / 重置密码。
• 支持手机号、邮箱、第三方登录（微信 / 支付宝）。
• 用户信息、等级、标签、黑名单。

2. 角色管理

• 角色增删改查、权限勾选。
• 批量分配用户、批量复制角色。
• 角色状态启用 / 禁用。

3. 权限管理

• 权限树自动生成，支持模块分级。
• 支持菜单 / 操作 / 字段三级配置。
• 权限变更日志留存。

4. 认证与鉴权

• 登录颁发JWT Token，携带用户 ID 与角色标识。
• 网关 / 拦截器统一鉴权，无权限直接返回 403。
• 前端根据权限动态渲染菜单与按钮。

5. 操作审计日志

必录内容：操作者、时间、IP、模块、操作内容、结果。重点审计：退款、提现、删单、改价、权限变更、清关操作。

6. 安全增强

• 敏感操作二次验证（短信 / 谷歌验证器）。
• 支持 IP 白名单、登录地域限制。
• 防重放、防 SQL 注入、XSS 过滤。
• 密码加密存储（BCrypt）。

---

六、技术架构实现

1. 技术栈（通用企业级）

• 后端：SpringBoot + SpringSecurity / Sa-Token
• 权限模型：RBAC0 + 数据范围扩展
• 数据库：MySQL（用户、角色、权限、用户角色、角色权限、日志）
• 缓存：Redis（存储 Token、权限菜单、黑名单）
• 前端：Vue + ElementPlus（动态菜单、指令级按钮权限）

2. 核心数据库表设计

• sys_user（用户）
• sys_role（角色）
• sys_permission（权限）
• sys_user_role（用户 - 角色关联）
• sys_role_permission（角色 - 权限关联）
• sys_log（操作日志）

3. 后端鉴权流程

1. 用户登录 → 校验通过 → 生成 JWT。
2. 前端请求携带 Token。
3. 网关 / 拦截器解析 Token，获取用户与角色。
4. 查询用户权限集合。
5. 校验当前接口是否在权限列表中，通过则放行。

4. 前端权限控制

• 路由守卫：无权限跳转到 403。
• 动态菜单：只渲染有权限的菜单。
• 按钮指令：无权限按钮隐藏或禁用。

---

七、代购平台特殊场景处理

1. 多店铺 / 多商家隔离

• 商家登录自动绑定店铺 ID。
• 所有列表请求自动拼接shop_id=当前店铺。
• 禁止通过修改 ID 访问其他店铺数据。

2. 跨境清关与敏感数据

• 清关资料仅清关角色可见。
• 支付密钥、商户证书仅财务管理员可配置，其他人只读 / 不可见。

3. 子账号与协作

• 商家主账号可创建子账号并分配权限。
• 支持按商品、订单、售后细分权限。

4. 临时权限

• 支持按时间授权（如活动期间临时配置权限）。
• 到期自动回收，支持手动撤销。

---

八、安全与合规建议

1. 最小权限原则：新用户默认无权限，按需开通。
2. 权限定期 review：每月检查冗余权限。
3. 高危操作双人审核：大额退款、冻结用户、删除数据。
4. 日志保留≥6 个月，满足跨境电商监管要求。
5. 接口必须后端二次鉴权，前端控制仅为体验。

---

九、总结

代购平台权限管理的核心是RBAC 模型 + 数据范围隔离 + 全链路审计。先按岗位定义标准角色，再细化到菜单、操作、字段与数据范围，最后通过统一认证鉴权与日志实现安全闭环。这套方案可直接用于 SpringBoot/Vue 项目落地，也能适配跨境代购、多店铺、多供应商等复杂业务场景，兼顾灵活性、安全性与可扩展性。