上周三下午，医保科小陈来找我，手机屏幕还亮着，上面是蓝点系统里一个流程表单的编辑界面。她指着‘提交’按钮旁边突然消失的‘转交财务复核’选项，有点懵：‘我昨天还能点，今天点不出来了——但我没改过任何设置。’

我凑过去看，顺手点开右上角的‘权限预览’（蓝点里那个像眼镜图标的按钮），切换到她的账号视角。果然，‘转交财务复核’灰掉了，但底下一行小字写着：‘因当前表单状态为‘已初审通过’，该操作不可见’。

这不是bug，是权限逻辑在‘呼吸’。

以前我们管这叫‘静态权限’：张三能看A模块，李四能改B字段，靠Excel表格配，靠IT同事手动勾选，靠每次新来人就重跑一遍授权脚本。结果呢？新人入职第三天，还在用实习生账号查不到自己负责的合同进度；老员工调岗后，旧权限卡在系统里半年，某次误点‘作废采购单’，差点把供应商付款拦腰截断。

后来我们试过RBAC（基于角色的访问控制），也搭过ABAC（基于属性的访问控制）模型，理论很美，落地时却总卡在‘谁该有什么属性’上。比如‘合同金额＞5万元’这个条件，系统怎么知道金额填在哪？填的是人民币还是美元？币种字段本身又该不该对经办人隐藏？一层套一层，最后不是做成规则引擎，而是做成玄学考试。

蓝点的解法有点‘土’：它不让你写表达式，也不让你画权限矩阵图。它让你直接在表单里‘画权限’。

举个真例子：我们把门诊退费流程搬进去时，设计表单字段有‘退费原因’‘原收费单号’‘患者身份证后四位’。然后在每个字段右侧，点开小锁图标，拖拽选择‘谁可见/可编辑/必填’——选项不是‘角色A’或‘部门B’，而是‘当前登录人’‘当前登录人的直属上级’‘当前表单创建人’，甚至‘当前表单中‘审批人’字段所填的人’。

最妙的是‘状态联动’。比如‘退费原因’字段，在‘待初审’状态下对经办人可见可编辑；一旦进入‘已初审’，它自动折叠成只读；等走到‘财务终审’环节，它干脆消失——因为财务只关心银行流水和发票号，不想被‘患者情绪激动’这类主观描述干扰判断。

这就像给每个字段装了个微型橡皮擦：不是粗暴地‘禁止访问’，而是根据上下文，轻轻擦掉此刻不该出现的按钮、不该显示的字段、不该弹出的提示。

上个月信息科做权限审计，翻了三年前的老OA日志。发现87%的越权操作，其实不是有人故意越界，而是‘本该看不见的按钮，阴差阳错亮着’。比如护士站的排班表里，‘护士长备注’字段默认所有人可看，结果实习生动手改了带教老师的评语；再比如耗材申领单上，‘预算余额’字段对库管开放，但库管顺手复制粘贴时，把整行含余额的数据发到了微信群……

蓝点没解决所有问题，但它让权限从‘事前审批’变成‘事中呼吸’。现在新来的实习生小周，第一天就能独立走完药品入库流程——她看不到‘修改历史单价’按钮，也点不开‘跳过质检’下拉菜单，不是因为被禁，而是那些按钮在她当前角色+当前状态+当前数据组合下，压根就没渲染出来。

上周五，小陈又来了，这次带着打印纸：‘我把‘权限预览’截图贴工位玻璃上了，旁边写了句——别找IT，先看看按钮还在不在。’

她没说错。有时候管理最难的那一步，不是建制度、不是推系统，而是让人相信：看不见的，真的可以等于不存在。