关于禅道“权限体系”提两条建议

首先为了方便描述，我将禅道的“权限分组”由“角色”的概念代替。

1.关于简化权限配置的建议

每个角色都唯一绑定一个权限集合，这与目前禅道的做法一致。

角色跟角色可以相加，也可以相减，等价于权限集合的加减（当然减法对本身就没有的权限无效）。

这是借鉴了Cordys的权限管理办法：基本的角色可以合成复合角色，基本角色中的权限改变也会通过内在的继承链影响复合角色，从而大幅度地减少了权限配置的工作。

为了第2条建议补充两点：

权限按项目范围分两种：包括提需求、管理用例等在内的项目内权限；以及包括项目添加、系统配置等在内的跨项目权限。

创立的角色也分两类：只包含“项目内权限”的项目角色；以及只包含“跨项目权限”的超级角色。即这两类角色的权限交集必须为空。

2.关于处理跨项目用户的建议

实际工作中，一个用户往往在不同的项目中扮演了不同的角色，有着不同的权限。而这种情况是目前“禅道”无法应对的。

所以应该在权限体系中加入“项目元素”。注意，由于存在跨项目工作的用户（如高层领导或禅道的系统管理员），因此引入“超级项目”的概念，将这类用户作为成员纳入。

然后为每个项目配置项目角色。比如有些单独是测试的项目，那么就没有开发人员的角色了。这里也可以理解为“配置项目的权限”。

后往每个项目角色上配置人员。从而形成一个“项目——项目角色——人员”的权限配置工作流。

反过来，我们也能描述出某个人员（用户）在哪些项目上拥有哪些角色。

同样的，对于跨项目的工作，则有“超级项目——超级角色——人员”的权限配置工作流。

当然这样做有个缺点，就是用户登入禅道后还要选择相应的项目入口才能进行工作。

举个例子：

我是项目A的测试员同时也是“禅道”的系统管理员，那么：

首先在“项目A——测试员角色”的名单上挂上我的用户名；

然后在“超级项目——禅道系统管理员角色（这是个超级角色）”的名单上也挂上我的用户名。

那么我登入禅道后则会有“项目A”和“超级项目”两个入口供选择，进入项目A后做测试员的工作，进入超级项目后就做禅道系统管理员的工作。

还有个思路是将“禅道”做成单项目管理模式，那么现有的权限系统就能充分满足企业级的使用要求。当一个项目完成后即将项目的相关数据及资料打包存档，然后清空系统内所有还在流转的数据，为下一个项目做准备。当然这种思路我是不太推荐的。