角色权限逻辑测试

1、前提 权限层级有：平台层(site)、组织层(organization)、项目层(project) 框架标准（项目层暂时没用） 角色层级有：平台层(site)、组织层(organization)、项目层(project) 框架标准 分配层级有：平台层(site)、租户层(organization)、组织层(org) HZERO系统层次 角色-权限关联只能同级关联，分配层级则根据具体情况判断。 系统内置了4个默认角色，针对平台管理员、租户管理员、项目管理员，可以看成是对应层级权限的容器。Admin用户(超级管理员)默认关联了这三个角色（项目管理员暂且没有使用）。所有的其它角色都应该由这三个角色衍

2、生出去。 角色管理、角色分配 为平台、租户公用，虽然页面是同一个页面，但地址、权限已经分离，分为平台级和租户级，这部分不会将平台级权限分配给租户。角色管理页面简介 选择管理员角色，只能选择分配给当前登录用户的角色；选择的角色即为“当前上下文角色”；进入角色管理页面后可点击切换来切换当前上下文角色。 管理的角色列表显示当前上下文角色的子角色树，该角色列表的角色层级必定是同一层级，因为由当前上下文角色来创建角色时，权限层级必定跟角色层级一致，所以创建的角色层级也必定一致。 被授予的角色列表显示被分配给当前用户的角色以及继承而来的角色，但是只有跟当前上下文角色同级的角色才能够被复制或继承创建。继承而

3、来的角色不能被复制，只可能被继承创建。 编辑控制：分配给管理员的角色不能修改和停用，预定义的角色不能修改和停用，跟当前上下文角色同级的角色才能够被复制或继承来创建。 创建角色有三种方式：直接创建角色、复制创建角色、继承创建角色。无论哪种方式，父级角色都是当前上下文角色。n 创建角色：基于上下文角色，选择权限创建角色n 继承创建角色：在上下文角色的基础上，选择可继承的角色创建，继承角色的同时继承了权限，一旦的某些权限被回收或者新增了某些权限，所有继承自它的角色都会同步受到影响。n 复制角色创建：复制角色仅仅只是复制了该角色的权限，之后跟创建角色一样。创建角色 admin用户以的角色，点击创建角色

4、，创建一个，将admin的权限下分。 角色层级默认与上下文角色一致，且不可编辑。角色编码自定义，名称自定义，标签可选。 所属租户，如果是平台用户，则默认为“HZERO平台”，即平台租户，且可以选择为其它租户创建角色；如果是具体的某个租户，则固定为该租户且不可编辑。 基本信息填完，点击添加权限，在右边只会查询当前上下文角色关联的权限，例如这里，只会查询的权限，且肯定都为平台级权限。之后点击保存，完成创建。继承创建角色 以同样的方式创建角色，先创建一个，用来容纳租户的通用平台级权限，如hiam、platform、mdm的一些查询权限等。 继承创建一个，租户选择汉得信息，该角色属于汉得租户。 继承角

5、色创建，该角色需要设置继承角色的ID，并且会继承角色的所有权限，同时，可以选择当前上下文角色的权限，后台会将继承的权限和新添加的权限都添加到角色权限关联表，但继承来的权限会打上继承标识，其它的则是创建标识。 以同样的方式创建，租户选择中国移动，该角色属于中移动租户。 继承创建角色，通过为添加权限，那么继承自它的角色都会自动拥有新添加的权限。可以通过修改添加权限、取消权限。 在“已分配权限”里取消勾选权限，点击保存即可进行权限回收，回收的权限在已回收的权限里可以看到。回收权限后，所有继承该角色的角色的相关权限也会被回收。在已回收的权限里可以取消回收权限，相应的角色就会再次拥有该权限。复制创建角色

6、 比如，复制HZERO平台管理员来创建角色，默认就会复制该角色的所有权限，然后还可以选择上下文角色的权限。 复制角色其实就是复制了角色的权限，之后则跟创建角色是一样的。 最终创建的角色 切换到租户管理员，以同样的方式创建，并继承该角色创建和，以此为租户分配租户级权限。角色分配 进入角色分配页面，平台管理员可以看到所有成员以及角色，租户管理员则只能看到自己租户下面的用户及角色。当前用户不能修改或删除分配给自己的角色。 可以点击添加按钮添加角色成员关系，在“成员”里，可以输入用户账号、手机号、邮箱搜索用户。 可以添加多个成员，将以第一个成员为主，限制添加的成员必须属于同一个租户。 能够选择的角色只

7、能是成员的租户所拥有的角色， 接着选择角色分配层级，如果成员属于某个租户，则分配层级只能选择到租户层或者组织层；如果成员是平台租户，则分配层级还可以选择平台层。 分配层级限制小于当前角色的父级角色分配层级，即创建该角色时的父角色的分配层级，大小：（平台层租户层组织层）。 选择分配层级后，如果选择的是平台层或租户层，分配层级值将默认为成员的租户。如果选择了组织层，则选择对应的组织，这就对应到租户下面的组织架构了。 分配之后，就可以登录hand用户查看到自己被授予的角色以及继承而来的角色。限制【创建角色】角色关联权限，保持角色层级与权限层级相等创建角色时的角色层级等于父级角色层级添加权限，权限层级跟角色层级相等分配层级及分配层级值：parent_role_assign_level=assign_level，parent_role_assign_level_value=assign_level_value【角色分配】所选用户必须属于同一个租户可选角色限制租户ID与用户的租户ID相等分配层级：限制小于角色父级角色分配层级，比如角色父级角色层级为organization，则可选范围有organization、org，如果为org，则只有org分配层级值：如果分配层级选择了平台层(site)或租户层(organization)，则层级值默认与选择的用户的租户ID一样即可，如