假设有部门经理这么一个角色

• 在A部门，部门经理操作A部门的事务

• 在B部门，部门经理操作B部门的事务

如果按照一般的做法，就会设计A部门经理和B部门经理两个角色才可以区分，有点蛋疼。所以我认为，这里还存在一个操作粒度的问题。

在RBAC模型中，Permission通常的理解是Resource : Operation : Instance，不过我认为其实可以修正为Resource : Operation : Domain，这里的Domain指得是作用的域，可以是某一个组织（Organization，Department）、某一个范围（Mine, Others'）、某一个实例（Instance），每一种Domain都是一种维度，验证权限需要在验证Resource : Operation字符串以后需要单独实现各个维度的验证，貌似目前没有什么框架来做哎。

RBAC是基于「角色」的，所有的授权对象均为「角色」，而不是其他的部门或者什么的ID，将这些部门和小组中的人员整理为「角色」，或者创建部门/小组和角色的对应关系，然后进行授权。