深入 RBAC 权限模型：XYGo Admin 三级权限体系的设计与实现

在中后台系统的开发中，权限管理永远是绕不开的核心课题。一个设计良好的权限模型，既要保证安全性，又要在灵活性和复杂度之间取得平衡。今天我们来拆解 XYGo Admin 的 RBAC 三级权限体系，看看它是如何从菜单到按钮再到字段，层层递进地实现精细化管控的。

第一级：角色权限（RBAC）

XYGo Admin 采用经典的 RBAC（基于角色的访问控制）模型。系统内置了两种默认角色：`R_SUPER`（超级管理员）和 `R_ADMIN`（普通管理员），同时也支持创建自定义角色。

权限分配的核心流程很清晰：管理员创建角色后，通过菜单树为该角色勾选可访问的页面，再将角色分配给用户。当用户登录时，后端根据其角色返回对应的菜单列表，前端再根据该列表动态注册路由——整个过程中，用户根本看不到自己没有权限的页面入口。

值得一提的是，权限校验发生在 AdminAuth 中间件 层：每个请求到达后端时，中间件会解析 JWT Token、获取用户角色，如果是超级管理员则直接放行，否则逐一检查请求路径是否在角色的菜单权限范围内，命中则继续，未命中直接返回 403。

第二级：按钮级权限

菜单级的控制解决了「能不能进这个页面」的问题，但页面内部的精细化控制则需要按钮级权限来兜底。

在菜单管理中，管理员可以为每个页面菜单添加按钮类型的子节点，并为每个按钮配置权限标识（如 `add`、`edit`、`delete`、`export`）。前端则通过自定义指令 `v-auth` 来控制按钮的显隐：

```vue
<ElButton v-auth="'add'" type="primary">新增</ElButton>
<ElButton v-auth="['edit', 'update']" type="primary">编辑</ElButton>
```

`v-auth` 的工作机制简洁高效：它从当前路由的 `meta.authList` 中获取该页面已分配的权限列表，判断用户是否拥有指定权限，没有的话直接从 DOM 中移除对应元素。此外，系统还提供了 `v-roles` 指令，支持按角色粒度的直接控制，比如只让超级管理员看到某些敏感操作入口。

第三级：字段级权限

在某些场景下，同一个页面的同一份数据，不同角色看到的内容应该有所不同——比如普通管理员可以查看用户的联系方式但不能查看身份证号。这就轮到字段级权限出场了。

后端通过 `admin_field_perm` 表存储字段权限配置，允许对每个模块的每个字段，按角色分别设置「可见」「可编辑」或「隐藏」三种级别。在数据查询和更新时，系统会自动过滤字段，确保敏感信息只对授权角色开放。

三级体系的实际价值

这种从粗到细的三级权限体系，在实际项目中非常实用。举例来说：一个运营角色可以被赋予「用户管理」菜单权限（第一级），但只给 `view` 按钮权限（第二级），并且隐藏「手机号」字段（第三级）——三层叠加下来，权限控制精确到了字段级别，既不需要为每个细微权限差异单独创建路由，也不会出现权限放大的风险。

XYGo Admin 基于 GoFrame + Vue3 + Element Plus 构建，将这套权限模型从前端指令到后端中间件完整串联，对于需要快速搭建企业级后台的团队来说，开箱即用的三级权限体系确实能省下大量从零造轮子的时间。