# 开源之夏2025mp

**Repository Path**: baomidou/summer-of-open-source-2025mp

## Basic Information

- **Project Name**: 开源之夏2025mp
- **Description**: No description available
- **Primary Language**: Java
- **License**: Apache-2.0
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 4
- **Forks**: 2
- **Created**: 2025-04-21
- **Last Updated**: 2025-08-26

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

## 1. 背景

随着公司规模的扩张和业务复杂度的提升，现有系统缺乏对组织结构敏感数据的精细化权限管控。目前，部门间协作与数据保密需求并存，但传统角色分配模型（如仅区分“管理员”和“普通用户”）已无法满足多层级组织架构下的安全管理要求。部门负责人需要全局掌握团队数据以支持决策，而普通员工仅需访问个人相关数据，现有粗粒度权限体系存在数据泄露风险和管理效率瓶颈。

## 2. 已有的工作

当前系统已基于RBAC（角色访问控制）模型实现了基础权限划分：
- 用户认证与角色分配功能（如“系统管理员”“部门管理员”“普通用户”）；
- 部门架构的静态树形存储（如部门ID、父子关系）；
- 数据表通过user_id字段实现行级数据隔离（普通用户仅可见本人数据）。

## 3. 存在的不足

- 权限粒度不足：部门管理员无法直接访问本部门所有成员数据，需通过系统管理员手动授权，流程繁琐且易出错；
- 数据泄露风险：普通用户可能通过URL篡改或接口漏洞越权访问其他部门数据；
- 扩展性受限：权限规则硬编码在业务逻辑中，新增部门或调整架构需修改多处代码；
- 审计缺失：未记录敏感数据访问行为，合规性难以追溯。

## 4. 希望改进的点

- 动态权限继承：基于部门隶属关系自动计算权限边界，部门管理员默认拥有本部门所有数据访问权；
- 双重验证机制：普通用户访问数据时，同时校验用户身份与所属部门的一致性；
- 可视化权限配置：提供界面工具，允许管理员拖拽调整部门-角色-权限的关联关系；
- 审计日志增强：记录用户访问的部门数据范围、时间、操作类型，支持按部门生成权限使用报告。

## 5. 最终项目实现的目标

- 构建一个组织结构感知型权限管理组件，实现：
- 自动化权限分配：部门管理员登录后，系统自动映射其管理范围内的所有数据（如部门成员列表、项目文档、业绩报表）；
- 零信任行级控制：普通用户任何数据请求均需通过部门-用户双向校验，防止横向越权；
- 配置化权限模型：支持数据库配置数据权限，与组织架构同步更新；
- 合规性保障：提供权限变更审批流、敏感操作告警、定期权限巡检功能。