闪仓 RBAC 权限管理实战:从角色创建到员工分配的完整教程
闪仓WMS内置55项细粒度权限码和完整的RBAC体系。本文通过三个实战角色(仓库操作员、收银员、经理)演示如何在PC端和CLI中创建角色、分配权限、绑定员工,落实最小权限原则。
为什么需要角色权限管理
当仓库团队超过两个人,权限管理就不再是"可选项"。一个收银员不应该能删除采购订单,一个仓库操作员不需要看到财务设置。闪仓WMS内置了完整的RBAC(基于角色的访问控制)体系,包含 55项细粒度权限码,覆盖采购、销售、库存、员工、设置等所有业务模块。
本文将通过三个实际角色的配置,演示从权限规划到员工分配的完整流程。
闪仓权限体系概览
闪仓的权限模型分为三层:
- 权限码(Power):系统预定义的最小操作单元,共55项。每项权限码对应一个具体操作,格式为"模块_操作",例如
入库_新增、入库_查询、入库_删除。 - 角色(Role):权限码的集合。一个角色可以包含任意多个权限码。
- 员工(Staff):一个员工可以绑定多个角色,其最终权限为所有角色的权限并集。
权限码分类速查
| 业务模块 | 权限码数量 | 包含操作 |
|---|---|---|
| 采购(询价/订单/入库/退货/换货) | 20项 | 新增、删除、修改、查询 |
| 销售(报价/订单/出库/退货/换货) | 20项 | 新增、删除、修改、查询 |
| 其他出入库 | 8项 | 新增、删除、修改、查询 |
| 仓库与库存 | 3项 | 仓库管理、库存盘点、库存查看 |
| 系统管理 | 4项 | 员工管理、设置、供应商客户管理、零售出单 |
最小权限原则
在配置角色之前,需要明确一个核心原则:每个角色只分配其工作职责所必需的最少权限。这意味着:
- 只读岗位只给查询权限,不给新增/修改/删除
- 操作岗位给查询+新增,谨慎给予删除权限
- 删除权限应严格限制在管理层
下面通过三个典型角色来演示这个原则。
实战:创建三个典型角色
角色一:仓库操作员
仓库操作员负责日常的入库和出库操作,需要查看库存但不能删除单据或管理员工。
所需权限码:
入库_新增、入库_查询、入库_修改出库_新增、出库_查询、出库_修改其他入库_新增、其他入库_查询其他出库_新增、其他出库_查询库存查看、库存盘点
注意:不包含任何 _删除 权限。操作员可以创建和修改单据,但无法删除已有记录。
角色二:收银员
收银员只需要使用POS零售功能,以及查看相关的出库记录。
所需权限码:
零售出单出库_查询库存查看
这是权限最精简的角色,仅包含3个权限码。
角色三:经理
经理需要完整的业务操作权限,包括删除和系统管理。
所需权限码:全部55项权限码。
PC端操作方法
第一步:进入权限管理页面
在PC端左侧菜单中找到 权限管理 页面。该页面展示当前所有角色列表,每个角色会以标签形式显示其绑定的权限码。
第二步:创建角色
点击页面右上角的 新增角色 按钮,在弹出的对话框中:
- 填写角色名称,例如"仓库操作员"
- 在权限穿梭框(Transfer)中,从左侧"未选权限"列表中选择需要的权限码,点击箭头移至右侧"已选权限"列表
- 穿梭框支持搜索功能,可以输入关键词快速定位权限码
- 确认后点击提交
第三步:为员工绑定角色
进入 员工管理 页面,在员工列表中找到目标员工,点击绑定角色图标。在弹出的对话框中:
- 从下拉选择器中选择要绑定的角色
- 下方会显示该员工当前已拥有的角色(以标签形式)
- 点击标签上的关闭按钮可以解绑已有角色
- 确认绑定
CLI 操作方法
闪仓CLI工具 fwh 提供了完整的角色管理命令集。所有操作位于 fwh staff role 子命令下。
查看权限码列表
fwh staff powers
该命令输出全部55项权限码及其ID,是设计角色的基础参考。
创建角色
使用 fwh staff role create 命令,通过 --powers 参数传入逗号分隔的权限码列表:
# 创建仓库操作员角色
fwh staff role create \
--role-name "仓库操作员" \
--powers "5,7,8,29,31,32,44,47,48,51,42,43"
其中数字为权限码ID:5=入库_新增,8=入库_查询,43=库存查看,42=库存盘点,以此类推。
# 创建收银员角色
fwh staff role create \
--role-name "收银员" \
--powers "55,32,43"
55=零售出单,32=出库_查询,43=库存查看。
查看已有角色
# 列出所有角色
fwh staff role list
# 按名称搜索
fwh staff role search --role-name "仓库"
# 查看角色总数
fwh staff role count
绑定角色到员工
# 将角色绑定到员工
fwh staff role bind --staff-id 1001 --role-id 2
# 解绑角色
fwh staff role unbind --staff-id 1001 --role-id 2
# 查看员工当前角色
fwh staff role get-for-staff --staff-id 1001
所有写操作(create、delete、bind、unbind)都会触发确认提示,防止误操作。
MCP Server 自动化管理
闪仓的 MCP Server 暴露了对应的权限管理工具集,可以在 Claude Code、Cursor 等AI编辑器中直接调用:
- 只读工具:
role_list、role_search、role_count、role_get_for_staff、power_list - 写入工具(需启用写入模式):
role_create、role_delete、role_bind、role_unbind
写入工具遵循闪仓CLI的安全模型:登录优先、租户隔离、写操作需显式确认。
权限设计建议
- 先规划后执行:在创建角色之前,先用
fwh staff powers或 PC 端的穿梭框浏览全部权限码,列出每个岗位的职责清单 - 角色命名规范:使用"岗位+职能"格式,例如"仓库操作员"、"采购主管"、"财务审核"
- 定期审查:每月检查员工的角色绑定是否仍然匹配其实际职责,离职或转岗时及时解绑
- 避免共享账号:为每个员工创建独立账号并绑定对应角色,而非多人共用管理员账号
- 删除权限独立管控:将删除类权限(共10项)集中在少数管理角色中,避免误删数据
总结
闪仓WMS的RBAC体系通过55项权限码、灵活的角色组合和多角色绑定机制,为中小企业提供了企业级的权限管理能力。无论是通过PC端的可视化穿梭框,还是CLI的命令行操作,都可以快速完成角色配置。关键在于始终遵循最小权限原则:每个人只拥有完成工作所需的最少权限。
