平台后台员工权限管理你们一般是怎么实现的？

把接口 uri 提取存到一个表，然后把每个 uri 和用户关联起来，这个叫授权。
请求时候通过中间件拦截用户请求，通过 session 拿到用户名，判断用户和 uri 是否在数据库里有关联，有则放行，无则返回权限不够。

上面有误，应该是把 uri 和组或者角色关联，用户放在组或角色表里。

我直接映射到 Unix 系统用户和数据库用户上，完全不用自己操心

前后端分类？ html 的显示的按钮菜单都是登录后返回的权限 code 显示的。接口用注解+拦截器控制接口访问。或者用 shiro，spring security 框架。

spring security role

你说得没错，你前面叙述的情况是把“可视”不当作基本权限处理。后面的是把“可视”跟“可读”、“可编辑”等权限结合使用。后者更好。

服务端缓存一个和用户 Token 对应的数据结构，这个数据里面包含用户登录时得到的权限(一堆的 url)。在用户访问接口的时候，通过网关去判断当前用户访问的 url 在不在缓存的 url 列表里面，有就放行，没有返回未授权。

spring security/shiro

数据权限和接口权限分开……数据库里面不要存 url，应该存 url 对应的 endpoint

@ebingtel

不是很理解，能稍微解释下吗？

memus
id name parent_id
1 客服控制台页面
2 工单管理 1
3 客户管理 1

users(单角色，多角色也差不多)
id name role_id
1 david 1
2 gps 2

roles
id name
1 admin
2 guest

permissions
id url method action menu_id
1 /customers get R 3
2 /customers post C 3
3 /customers patch U 3
4 /orders post R 2

role_permission
role_id permission_id
1 1
1 2
1 3

// 实际菜单根据用户拥有的 menus 渲染。当用户点击菜单才渲染权限
// 如果点了客户管理前端会传 menu_id = 3
这时候得到 permission=1,2,3 这三条记录，就知道这个页面有这三个权限,然后通过当前登录用户，角色，权限关联。
这时候如果是 david 用户在 /customers 页面就有 CUR 权限
而 gps 用户在 /customers 页面没有任何权限，这都只是给前端显示的

// 而后端需要再建一个中间件验证权限，用户请求，根据页面的 url 和 method 得到唯一的 permission, 如果为 null，代表当前 url 不用验证权限，如果有记录，判断用户是否有这个权限，没有抛出异常，有，请求就通过