开发基础权限服务集成指南

1、权限服务集成指南 1.权限元数据定义1.1.权限项的关联实体权限项关联的实体。该项可以为空，当权限项没有关联实体时，该权限项无法使用数据权限，是使用数据权限的基本条件之一。1.2.权限项的依赖1.2.1.默认依赖默认依赖是根据权限项的操作类型来决定的。权限项的操作类型分别为：READ、ADDNEW、UPDATE、DELETE、EXECUTE、OTHER对于同一个实体对象，权限READ根据操作类型类建立默认依赖关系，规则如下：ADDNEW UPDATE DELETE EXECUTEOTHERREAD READ READREAD即：有了增、删、改的权限就默认有了查看权。如果审核之类的功能需要默认有

2、查看权，就把类型设置为 EXECUTE，否则就设置为 OTHER。1.2.2.自定义依赖对于用户自定义权限项依赖关系的定制也提供了支持,如下图.1.3.权限项扩展属性:Relation（权限业务组织类型）pany、Sale、Purchase、Storage、权限CostCent业务组织类型，取值范围为rofitCenter、Controit、UnionDebt，HRO 权限项与实体关联并且其主业务组织类型与实体主组织类型一致时可以不设置。注意：当权限项上的主业务组织类型不为空时（即权限项扩展属性Relation 不为空），权限系统会优先该属性值作为权限项的主组织类型.如果不知道某个权限项的主业

3、务组织类型,请与相关需求确认.1.4.权限项扩展属性：permItemType（权限项类型）权限项类型，取值范围为：10(系统管理功能)、15（业务管理功能）、20(业务功能) 、30(综合功能)系统用户（超级管理员或 CU 管理员）不能操作业务功能，默认拥有所有的系统管理功能类、业务管理功能类和综合功能类的权限，不需。普通用户（包括业务管理员）不能操作系统管理功能，只能操作业务功能。需要授权才可以具有业务功能类和综合功能类的相关权限。当用户为业务管理员时，默认拥有业务管理功能类的权限。注意：因为系统管理功能类和业务管理功能类权限项不需要中出现。，所以不会在界面如果某个权限项的权限项类型,请与

4、相关需求确认.1.5.关于同步权限数据功能及菜单过滤使用 administrator 登录系统后，在“用户管理”界面中使用“文件菜单”下的同步权限数据功能，可以将当前应用服务器的元数据路径的权限元数据同步到权限系统的数据表中。并且权限系统会在“同步权限数据”时，自动将 UI + ActionOnLoad 绑定的权限项作为对应 UI 对象系统菜单的权限项。当发现某个菜单的 UI+ActionOnLoad 对应了多个权限项时，此时系统会给与提示。请大家根据提示查阅日志，根据情况判断是否有必要进行权限数据的调整。注意：日志级别为 error 的信息为严重错误，请大家务必修改,否则会导致数据中心创建失

5、败。日志级别为 info 的信息一般是因为某个菜单的 UI+ActionOnLoad 或同一个资源对应了多个权限项意，请大家根据日志提示酌情调整。 2.数据权限的权限项设置由于本版的权限系统支持数据权限，故本版的权限项定义也比上版复杂一些。权限需使用数据权限作如下设置：2.1.权限项定义中需要指定实体对象:2.2.设置权限项的扩展属性 enableDatrmis为 true注意：如果你需要将某个权限项使用数据权限，必须要设置该权限项关联实体，并且其扩展属性enableDatrmis为true，二者。2.3. 服务端方法的绑定对于实体的的方法或 Facade 中的方法来说,需在权限项界面中定义关

6、系.对具有继承层次的实体设置方法绑定时,请选中所有继承层次中的同种方法.2.4.Query 对象的绑定对于已经需要绑定权限项的 query 要慎重选择,因为如果该 query 对象被绑定权限项,就意味该 query 执行时,必将受权限(功能权限及数据权限)控制:当用户没有该 query 绑定的权限项对应功能权限时,此时用户将查询不出数据;当用户拥有该 query 绑定的权限项对应功能权限,并且同时授予数据权限时,该 query 将会附带对应的数据权限的过滤条件执行.本限系统提供了对字段的查看和修改的权限控制（与具体的业务操作无关）3.字限3.1.字限的相关扩展属性3.1.1.实体的扩展属性：e

7、nableFieldPermis设置业务对象是否支持字统树上。限，当该属性为true 时该业务实体会出现在字限的子系3.1.2.实体属性的扩展属性：enableFieldPermis限，当该属性为 true设置业务对象属性是否支持字限的界面中。时该业务实体属性会出现在字3.2.接口类及接口方法3.2.1.IPermis接口类：com.kingdee.eas.base.permis.IPermis/* 描述：返回用户在某个组织下对指定类型的业务实体的字限3.2.2.FieldPermis接口类：com.kingdee.eas.base.permis.FieldPermis/*描述：检查是否具有查

8、看权param fieldName 字段名（实体或 query 属性名）return*/publicisViewable(String fieldName)/*param bizObjectType业务实体的类型param uK验权用户 PKparamPK验权组织 PKreturn FieldPermis字限集合throwsExceptionthrows EASBizException*/public FieldPermisgetFieldPermis( ObjectType bizObjectType,IObjectPK usK, IObjectPKPK)throwsException, E

9、ASBizException;/*描述：返回用户在某个组织下对指定查询对象的字限param queryPK查询对象 PKparam uK验权用户 PKparamPK验权组织 PKreturn FieldPermis字限集合throwsExceptionthrows EASBizException*/public FieldPermisgetQueryFieldPermis( IMetadataPK queryPK,IObjectPK usK, IObjectPKPK)throwsException, EASBizException; 4.离散数据权限4.1.使用场景对于用户数据权限需求用数据规

10、则难以定义并且数据量较小的情况下,可以使用离散数据权限.权限系统提供了通用的界面,如下:业务系统需要实现权限系统的定义的接口,即可以使用通用的界面.描述：检查是否具有修改权param fieldName 字段名（实体或 query 属性名）return*/publicisEditable(String fieldName)/*描述：是否启用了字限param fieldNamereturn*/publicisEnableFieldPermis(String fieldName)4.2.相关接口4.2.1.IDiscreteAccreditProvider接口类: t.IDiscreteAccre

11、ditProvider/* 描述:离散数据提供者verEAS5.0*/publicerface IDiscreteAccreditProvider/*描述：返回展现离散数据的 Query,用于离散数据列表界面return* 创建时间：2006-1-5 */public IMetaDataPK getQueryPK();/*描述：返回用户在某组织下可的业务数据的 F7param usKparamPKpararentreturn* 创建时间：2006-1-5 */public IDiscreteDataSelectetSelector( IObjectPK uK,IObjectPKPK, IUIO

12、bject parent);/*描述：返回离散数据管理权限名该权限项的所被赋予的数据权限将是离散数据时的业务数据数据范围return* 创建时间：2006-2-21 */public String getAccreditPermItemName();4.2.2.IDiscreteDataSelector接口类:t.IDiscreteDataSelector4.2.3.通用界面的使用目前提供了两个通用界面:用户离散角色离散UI: com.kingdee.eas.base.permisUI: t.UserDiscreteAccreditUI.cnt.RoleDiscreteAccreditUI使用

13、方式与一般的 UI 类似:UIContext uiContext = new UIContext(this);/在 UIContext 中传递业务对象的ObjectType uiContext.put(UserDiscreteAccreditUI._OBJECT_TYPE, objectType); IUIWindow window =UIFactory.createUIFactory(UIFactoryName.M).create(UserDiscreteAccreditUI.class.getName(), uiContext, null,null); window.show();/*描述

14、:可的业务数据 F7author ryanzhoudate:2005-11-16 verEAS5.0*/publicerface IDiscreteDataSelector extends KDPromptSelector/*描述：返回 F7 取数方式 true:oql 方式 false:sql 方式return* 创建时间：2006-1-5 */publicisOQLType();/*描述：将已的数据过滤条件添加到可的业务数据 F7当 F7 取数方式为 oql 方式时,condition 为oql当 F7 取数方式为 sql 方式时,condition 为sql(子查询:SELECT FID

15、 FROM TAB)param condition* 创建时间：2006-1-5 */public void mergeAccreditCondition(String condition);4.2.4.其他注意事项由于离散权限的使用目前是受控的,需要在权限系统内后才可以使用,如果你想们会先从业务需求上判断使用离散数据权限请先与是否适合.（需求：管新红）如果你需要,请按下面的例子来发邮件通知:业务实体全名=com.kingdee.eas.portal.app.Portlet ObjectType=0B344890IDiscreteAccreditProvider 实现类：t.PortletDi

16、screteAccreditProvider权限项名称：portal_portlet_view 5.权限系统主要对外接口5.1.接口类的位置权限的对外接口都定义在 com.kingdee.eas.base.permis.IPermis5.2.功能验权接口/*描述：返回用户是否具有某项功能的权限param uK验权用户 PKparamPK验权组织 PKpaermItemName权限项名称returntruefalse:无权throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/publichasFunctionPermis( IObjectPK

17、 uK,IObjectPKPK, String permItemName)throwsException, EASBizException;/*描述：返回用户是否具有某项功能的权限param uK验权用户 PKparamPK验权组织 PKparam uiPKparam actionPKreturnUI 元数据 PK业务操作的 PKtruefalse:无权* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/publichasFunctionPermisIObjectPK uK,(IObjectPKPK,IMetaDataPK uiPK,

18、IMetaDataPK actionPK)throwsException, EASBizException;/*描述：检查用户是否具有某项功能的权限,无权时会抛出包含提示信息的业务异常* param uK验权用户 PK验权组织 PK权限项名称param* pathrowsPKermItemName Exceptionthrows EASBizExceptionauthor:ryanzhou*/public void checkFunctionPermis IObjectPK uK,(IObjectPKPK,String permItemName)throwsException, EASBizE

19、xception;/*描述：检查用户是否具有某项功能的权限,无权时会抛出包含提示信息的业务异常* param uK验权用户 PK验权组织 PK UI 元数据 PK业务操作的 PK* paramPKparam uiPKparam actionPK* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public void checkFunctionPermis(5.3.数据验权接口/*描述：返回用户对某条业务数据是否具有某项功能的权限param uK验权用户 PKparamPK验权组织 PKpaermItemName权限项名称param

20、bizDataPK业务数据 PKreturntruefalse:无权throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/publichasDatrmis( IObjectPK uK,IObjectPKPK, String permItemName, IObjectPK bizDataPK)throwsException, EASBizException;/*描述：返回用户对某条业务数据是否具有某项功能的权限param uK验权用户 PKparamPK验权组织 PKparam uiPKUI 元数据 PKparam actionPK业务操作的

21、 PKparam bizDataPK业务数据 PKreturntruefalse:无权throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/publichasDatrmis( IObjectPK uK,IObjectPKPK,IMetaDataPK uiPK, IMetaDataPK actionPK,IObjectPK uK,IObjectPKPK, IMetaDataPK uiPK, IMetaDataPK actionPK)throwsException, EASBizException;IObjectPK bizDataPK)thr

22、owsException, EASBizException;/* 描述：返回用户对某条业务数据是否具有某项功能的权限param uKparamPK验权用户 PK验权组织 PK权限项名称业务数据值对象true* paermItemNameparam bizDatareturnfalse:无权* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/publichasDat IObjectPK uIObjectPKrmis K,PK,(String permItemName,IObjectValue bizData)throwsExceptio

23、n, EASBizException;/* 描述：返回用户对某条业务数据是否具有某项功能的权限* param uK验权用户 PK验权组织 PK UI 元数据 PK业务操作的 PK业务数据值对象true* paramPKparam uiPKparam actionPKparam bizDatareturnfalse:无权* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/publichasDatIObjectPK u IObjectPKrmis K,PK,(IMetaDataPK uiPK, IMetaDataPK actionPK,I

24、ObjectValue bizData)throwsException, EASBizException;/*描述：检查用户对某条业务数据是否具有某项功能的权限,无权时会抛出包含提示信息的业务异常param uKparamPK验权用户 PK验权组织 PK权限项名称业务数据 PK* paermItemName* param bizDataPK* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public void checkDatIObjectPK u IObjectPKrmis K,PK,(String permItemName,I

25、ObjectPK bizDataPK)throwsException, EASBizException;/*描述：检查用户对某条业务数据是否具有某项功能的权限,无权时会抛出包含提示信息的业务异常* param uK验权用户 PK验权组织 PK UI 元数据 PK业务操作的 PK业务数据 PK* paramPKparam uiPKparam actionPKparam bizDataPK* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public void checkDatIObjectPK u IObjectPKrmis K,PK

26、,(IMetaDataPK uiPK, IMetaDataPK actionPK,IObjectPK bizDataPK)throwsException, EASBizException;/*描述：检查用户对某条业务数据是否具有某项功能的权限,无权时会抛出包含提示信息的业务异常* param uK验权用户 PK* paramPK验权组织 PK权限项名称业务数据值对象* paermItemName* param bizData* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public void checkDatIObjectPK

27、u IObjectPKrmis K,PK,(String permItemName,IObjectValue bizData)throwsException, EASBizException;/*描述：检查用户对某条业务数据是否具有某项功能的权限,无权时会抛出包含提示信息的业务异常* param uK验权用户 PK验权组织 PK UI 元数据 PK业务操作的 PK业务数据值对象* paramPKparam uiPKparam actionPKparam bizData* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public v

28、oid checkDatIObjectPK u IObjectPKrmis K,PK,(IMetaDataPK uiPK, IMetaDataPK actionPK,IObjectValue bizData)throwsException, EASBizException;/*描述：返回用户对某个功能关联业务对象sql 返回结果类似如:的 sqlSELECT “ID” FROM TAB WHERE FNAME = A OR FNUMBER = B .* 此时业务系统需要将该条件包含在需要验权的 SQL 内param uKparamPK验权用户 PK验权组织 PK权限项名称* paermItem

29、Name5.4.获取限的组织/*描述：返回用户对某功能或组织范围的组织集合param uK验权用户 PKparamType获取限的组织类型paramTreePK合并范围分类,只有Type 为合并范围时，return SQL 查询语句throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public String getQueryPermisSQL( IObjectPK uK,IObjectPKPK, String permItemName)throwsException, EASBizException;/*描述：返回用户对某个功能关联业务

30、对象的 sqlsql 返回结果共有三种情况如下:无权时返回结果：1 1且没有附加数据规则时返回结果：1 = 1且有数据规则时返回结果：idFiledAlias IN (SELECT “ID” FROM TAB WHERE FNAME = A OR FNUMBER = B)此时业务系统需要将该条件包含在需要验权的 SQL 内param uK验权用户 PKparamPK验权组织 PKpaermItemName权限项名称param idFiledAliasid 字段别名return SQL 查询语句throwsExceptionthrows EASBizException*/public Strin

31、g getPermisWhereSQL( IObjectPK usK,IObjectPKPK, String permItemName, String idFiledAlias)throwsException, EASBizException;该参数才不能空UI 元数据 PK业务操作的 PKparam uiPKparam actionPKreturn组织集合为空时为组织范围为空时为组织范围* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public FullUnitCollection getAuthorized(IObjectP

32、K uK,TypeType,IObjectPKTreePK,IMetaDataPK uiPK,IMetaDataPK actionPK)throwsException, EASBizException;/* 描述：返回用户对某功能或组织范围的组织集合验权用户 PKparam uparamparamKType TreePK获取限的组织类型合并范围分类,只有该参数才不能空Type 为合并范围时，* pareturnthrowsermItemName组织集合Exception权限项名称 为空时为组织范围throws EASBizExceptionauthor:ryanzhou*/public Ful

33、lUnitCollection getAuthorized(IObjectPK uK,TypeType,IObjectPKTreePK,String permItemName)throwsException, EASBizException;/* 描述：返回用户在某个管理单元及其下级的范围内对某功能或组织范围的组织集合param ctparam uparamparamitPK KTypeTreePK管理单元 PK验权用户 PK获取限的组织类型合并范围分类,只有Type 为合并范围时，该参数才不能空UI 元数据 PK为空时为组织范围业务操作的 PK 为空时为组织范围param uiPKparam

34、 actionPKreturn组织集合* throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public FullUnitCollection getAuthorizedOfIncludeSubCU(IObjectPK ctIObjectPK uitPK,K,TypeType,IObjectPKTreePK,IMetaDataPK uiPK,IMetaDataPK actionPK)throwsException, EASBizException;/* 描述：返回用户在某个管理单元及其下级的范围内对某功能或组织范围的组织集合param

35、ctparam uparamparam数才不能空itPK KTypeTreePK管理单元 PK验权用户 PK获取限的组织类型合并范围分类,只有Type 为合并范围时，该参* pareturnthrowsermItemName组织集合Exception权限项名称 为空时为组织范围throws EASBizExceptionauthor:ryanzhou*/public FullUnitCollection getAuthorizedOfIncludeSubCU(IObjectPK ctIObjectPK uitPK,K,TypeType,IObjectPKTreePK,String permIt

36、emName)throwsException, EASBizException;/* 描述：返回用户在某个管理单元内对某功能或组织范围的组织集合* param ctitPK管理单元 PK5.5.获取限的用户/*param uK验权用户 PKparamType获取限的组织类型paramTreePK合并范围分类,只有Type 为合并范围时，该参数才不能空param uiPKUI 元数据 PK为空时为组织范围param actionPK业务操作的 PK为空时为组织范围return组织集合throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/pub

37、lic FullUnitCollection getAuthorizedOfCU( IObjectPK ctitPK,IObjectPK uK, TypeType,IObjectPKTreePK, IMetaDataPK uiPK, IMetaDataPK actionPK)throwsException, EASBizException;/*描述：返回用户在某个管理单元内对某功能或组织范围的组织集合param ctitPK管理单元 PKparam uK验权用户 PKparamType获取限的组织类型paramTreePK合并范围分类,只有Type 为合并范围时，该参数才不能空paermIte

38、mName权限项名称 为空时为组织范围return组织集合throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public FullUnitCollection getAuthorizedOfCU( IObjectPK ctitPK,IObjectPK uK, TypeType,IObjectPKTreePK, String permItemName)throwsException, EASBizException; 6.FAQ6.1.如何使用Stuido 发布权限元数据？请注意选中下列选项，这样才能通过务器的元数据目录。Studio 将

39、权限元数据从工作区发布到应用服*描述：返回对某功能限的用户集合paramPK验权组织 PKpaermItemName权限项名称return 用户 ID 集合throwsExceptionthrows EASBizExceptionauthor:ryanzhou*/public Collection getAuthorizedUsers(IObjectPKPK, String permItemName) throwsException, EASBizException;6.2.我修改了权限元数据，如何将将它显示到 EAS 系统的可列表中？请发布权限元数据后，重新启动应用服务器，然后使用 admi

40、nistrator 用户登录 EAS 系统，在用户管理的“文件”菜单下使用“同步权限数据”功能进行同步。如果在该过程中出现错误提示（如下图），请查看应用服务器日志根据日志中的提示信息修改权限元数据。如果你的操作都不存在上述问题，但是仍然在可列表中看不到你期望的权限项的话,那么请你注意:只有你选择的组织具备权限业务组织类型属性时,它才会显示出来.6.3.为什么在使用查看用户权限功能发现我具有某个功能的权限，但是进行相关操作后仍然提示我“没有业务权限”或“没有某个组织的业务权限”？首先，先使用查看用户权限功能检查一下用户是否被分配了权。其次，请检查一下用户被组织是否为当前用户的操作主业务组织。如：“凭证查询”在用户时被授给公司 A，那么只有你当前操作的业务组织为公司 A 时才。请注意：应用框架获取验权组织是通过方法 CoreUI 中的getPK(It