EASBOS开发指引-权限

BOS开发指南一权限目录TOC\o"1-5"\h\z简介4目的4适用^^象4参考资料4BOS权限系统总览4权限项介绍4权限项的关联实体4权限项的默认依赖5权限项扩展属性:orgRelation（权限项主业务组织类型）5权限项扩展属性：permItemType（权限项类型）6扩展属性enableDataPermission7关于菜单的权限过滤7权限项组别8同步权限项8版本差异8功能权限8功能方面8设置权限项8分配权限项9技术方面9普通数据权限11功能方面11权限项设置11建立授权规则11授权规则的实体树配置11建立授权规则12分配数据权限12技术方面13字段权限介绍17功能方面17实体设置17生成字段子系统树18启用字段权限18字段权限授权18特殊数据权限19功能方面19集成单据实体19配置权限项19特殊数据权限设置20切换CU20拥有者权限20启用拥有者权限20启用拥有者例外20其他拥有者21主管权限21设置主管权限21指定主管权限22特殊数据权限和普通数据权限的关系22版本差异22特殊数据配置文件22切换CU22特殊数据权限和普通数据权限的关系22用户管理22FAQ24权限项相关功能1FAQ24数据权限相关功能FAQ24特殊数据权限FAQ25字段权限FAQ25附录25备注25目的本文档概要的介绍了BOS权限系统的基本概念、基本操作及常见问题。适用对象本文档适用于实施、二次开发人员及EAS开发人员及其他会使用BOS权限系统的人员。参考资料无。BOS权限系统是基于用户、角色、组织、权限的思维权限模型，能够控制系统的功能、数据、属性各个维度，包括以下一些方面：.权限项元数据：是所需要控制的功能的元数据模型，由开发人员在开发期间创建，元数据中可绑定界面操作功能、服务端方法、查询（query）,部署时系统会将元数据信息同步到数据库中.功能权限.普通数据权限.字段权限.特殊数据权限是所需要控制的功能的元数据模型，由开发人员在开发期间创建，元数据中可绑定界面操作功能、服务端方法、查询（query）,部署时系统会将元数据信息同步到数据库中权限项的关联实体权限项关联的实体。该项可以为空，当权限项没有关联实体时，该权限项无法使用数据权限。名称二别名：名称二别名：描逑：组别：组名:类型二实体对象：BA5_CR_Tennpl就$窿他iFEUS系统，系统平吉，编码胡则，规则模板g5系统，系绕平台.编码粉则,翅则模板山31▼-I口权限项的默认依赖默认依赖是根据权限项的操作类型来决定的。权限项的操作类型分别为：READADDNEWUPDATEDELETEEXECUTEOTHER对于同一个实体对象，权限项会根据操作类型类建立默认依赖关系，规则如下：READADDNEW——>READUPDATE——>READDELETE——>READEXECUTE——>READOTHER即：有了增、删、改的权限就默认有了查看权，即在分配增删改权限时，会自动分配查看权限。如果审核之类的功能需要默认有查看权，就把类型设置为EXECUTE否则就设置为OTHER权F艮项的详细信息名称：[B—5j：R_TEmWEt「V汜wTOC\o"1-5"\h\z别名：道看.一描述:蛆别：E陌系统乐统平台编蚂规则规则模板—名：由三统，出纸平台，编码规则，规则模板一性型:[read▼实体对象：[I口权限项扩展属性：orgRelation（权限项主业务组织类型）权限项主业务组织类型，取值范围为：NONE:跟组织类型无关，只要给任一组织分配了该权限，则所有组织都有权、Admin：行政组织类型、Company：财务组织类型、Sale：销售组织类型、Purchase：采购组织类型、Storage：库存组织类型、CostCenter：成本中心组织类型、ProfitCenter：盈利中心组织类型、ControlUnit:管理单元，只要在管理

单元中分配了该权限，则在该管理单元下的所有组织都有权、UnionDebt:责任中心，HRO:人事组织。注意：当权限项上的主业务组织类型不为空时（即权限项扩展属性orgRelation不为空）,权限系统会优先读取该属性值作为权限项的主组织类型^如果不知道某个权限项的主业务组织类型，请与相关需求人员确认.3.4.权限项扩展属性：permItemType（权限项类型）3.4.权限项类型，取值范围为：10（系统管理功能卜15（业务管理功能）、20（业务功能）、30（综合功能）系统用户（超级管理员或CU管理员）不能操作业务功能，默认拥有所有的系统管理功能类、业务管理功能类和综合功能类的权限，不需授权。普通用户（包括业务管理员）不能操作系统管理功能，只能操作业务功能。需要授权才可以具有业务功能类和综合功能类的相关权限。当用户为业务管理员时，默认拥有业务管理功能类的权限。如果不确定某个权限项的权限项类型，请与相关需求人员确认.

3.5.扩展属性enableDataPermission是否启用数据权限，true：启用，false:不启用；如果选择为true,则该权限项必须关联实体关于菜单的权限过滤权限系统在“同步权限数据”时，会自动将UI+ActionOnLoad绑定的权限项作为对应UI对象系统菜单的权限项。当发现某个菜单的UI+ActionOnLoad对应了多个权限项时,此时系统会给与警告提示。请大家根据提示查阅日志，根据情况判断是否有必要进行权限项元数据的调整。名称：

别名：描述：组别：名称：

别名：描述：组别：蛆名：类型：实体对象：1.v53版本没有权限项扩展属性orgRelation,而是用：isPurchaseRelation、isStorageRelation等形式表示组织类型；V53以后版本使用orgRelation代替功能权限控制用户能做什么操作，BOS权限系统的权限和组织相关。权限项组别权限项的详细信息规则稹板查看规叫模板查看7]TE蛇系统.系统平台.编妈韧则.规则腹租一一jEAS系统150系统平台.纪。编购规则.2T0阅REAB二I匚1权限项的组别不能为空，而且必须符合当前权限项所在权限树的路径同步权限项权限定义的信息存放在元数据中，部署的时候，执行同步权限项，会将权限项信息同步至数据库中的T_PM_Permitem表；同步过程如果出现问题，界面会提示，在服务器的日志中可以查看到错误原因。版本差异功能方面设置权限项操作功能一■般包括两种界面功能和后台功能1）界面功能权限按钮功能由界面UI和按钮关联的Action方法一起定义，在权限项中增加界面UI到引用对象中，增加Action方法到引用属性中，在点击按钮的时候进行验权菽限项的引用对象引用时速」一加-cco.lantgjce.eai.tase.codin^rmle-.client.CodLn（H.ul...巨1向下4|It|一—引用屈性树R双能同用字函恂项[^±恂项[^±Acti«nDitabiHd2）后台方法权限后台方法权限通过远程接口的方法定义，在执行远程调用时验权

双眼项的引用对要EI用前象|u0nl.kin福.曰白w.be.paran.：app.Far:anJteni]com.kinjdee.easbas-e.param.appP^r-ftmlteniListQnerycor*kinfd««.«iaib«e>«,pariam,cliaM.FaramitqmLittilljdI引用屈性双限项的引用届性月巴吧g.«tCtbll«cti^n.om.kixtfdee：.Kdi..■ftlad.a...jitCfrlledti(>rt(Siring心qL)getCciillectimi0gretCoilection(com.kin^dee.bos.Betada...^etCi>llection(Strang«ql)分配权限项在用户序时薄选中一个用户，点分配权限按钮，可对该用户进行授权操作(orgRelation)在授权组(orgRelation)在授权组如果被分配权限用户是业务管理员，则可以分配可转授权限，即该用户可以给其他用户分配的权限。禁止权限：禁止权限优先于其他一切权限，即如果某权限被禁止了，那么该用户就没有该权限授权组织的范围：授权组织限制在被分配用户的业务组织范围内技术方面功能验权接口者B定义在com.kingdee.eas.base.permission.IPermission中，定义如下/***描述：返回用户是否具有某项功能的权限@paramuserPK验权用户PK@paramorgPK验权组织PK@parampermItemName权限项名称@returntrue:有权@throwsBOSException@throwsEASBizException@author:ryanzhou/publicbooleanhasFunctionPermission(IObjectPKuserPK,IObjectPKorgPK,StringpermItemName)throwsBOSException,EASBizException;false:无权/***描述：返回用户是否具有某项功能的权限@paramuserPK@paramorgPK@paramuiPK@paramactionPK@return@throwsBOSException@throwsEASBizException@author:ryanzhou验权用户PK验权组织PKUI元数据PK业务操作的PKtrue:有权false:无权*/publicbooleanhasFunctionPermission(IObjectPKuserPK,IObjectPKorgPK,IMetaDataPKuiPK,IMetaDataPKactionPK)throwsBOSException,EASBizException;*描述：检查用户是否具有某项功能的权限，无权时会抛出包含提示信息的业务异常@paramuserPK验权用户PK@paramorgPK验权组织PK@parampermItemName权限项名称@throwsBOSException@throwsEASBizException@author:ryanzhou/publicvoidcheckFunctionPermission(lObjectPKuserPK,lObjectPKorgPK,StringpermltemName)throwsBOSException,EASBizException;/**描述：检查用户是否具有某项功能的权限，无权时会抛出包含提示信息的业务异常@paramuserPK验权用户PK@paramorgPK验权组织PK@paramuiPKUI元数据PK@paramactionPK业务操作的PK@throwsBOSException@throwsEASBizException@author:ryanzhou/publicvoidcheckFunctionPermission(IObjectPKuserPK,IObjectPKorgPK,IMetaDataPKuiPK,IMetaDataPKactionPK)throwsBOSException,EASBizException;数据权限可以控制用户可以操作哪些数据记录，可以通过定义授权规则，限制用户拥有操作哪些数据的权限，这是一种纵向的数据控制；EAS系统有一个系统参数enableDataPermission对数据权限是否启用进行控制，true:启用数据权限，false:禁用数据权限，禁用的情况下，系统所有的数据权限控制失效功能方面权限项设置权限要支持数据权限，首先要在权限项中定义扩展属性dataPermission为true,并且权限项必须关联实体建立授权规则授权规则的实体树配置本操作由实施操作。使用系统管理员登录，新建客户化菜单项com.kingdee.eas.base.permission.client.BizObjForRoleUI,从新登录后进入该界面在该界面可分配授权规则实体树

建立授权规则ij315单后■中心日悭京日因用户@paramuserPK*@paramorgPK*@parampermItemName@paramuserPK*@paramorgPK*@parampermItemName*@parambizDataPK*@return*@throwsBOSException*@throwsEASBizException*@author:ryanzhou三位坳爷阮匕.附至白-1..我出曾忠工..季田筝瞒-I［青片例.*司.」窗押要剪，巴行XhflSJ单案-□^一白6£才中心一JiDffl关底-□IP*-□v?4aM1-Qirntr一口肥也汇赛抡革7肥而_出黑■正一口耐利中心-□Wffffi（S*iE1-口Fffl映学元I-门册机上人口总口=二］pwlai±JjJSW段杈规迎宾

体轲・易石・段杈规迎宾

体轲・易石・MJMF宏单元.“规则关系”：指数据项规则和通用查询规则的关系，有“且”和“或”两个选项.数据项规则：对些基础数据，可直接选择已有的数据作为规则.通用查询规则：使用过滤条件+比较符+比较值拼装过滤条件.部分分录无权限时的处理：1）选择单据不显示：如果部分分录无权限则整个单据不显示2）选择显示有权限分录：单据显示，并且显示有权限部分的分录分配数据权限在权限分配界面，点击“数据授权”按钮，会展示授权规则分录界面在授权规则分录界面可以新增、删除授权规则弹出的授权规则选择F7,其中的授权规则是根据当前选择的权限项对应的实体进行过滤的，并且会根据当前登录用户的管理单元范围进行过滤技术方面数据权限验权接口，使用IPermission接口的方法，说明如下/**/*/publicbooleanhasDataPermission(IObjectPKuserPK,IObjectPKorgPK,描述：返回用户对某条业务数据是否具有某项功能的权限验权用户PK验权组织PK权限项名称业务数据PKtrue:有权false:无权StringpermItemName,IObjectPKbizDataPK)throwsBOSException,EASBizException;/**描述：返回用户对某条业务数据是否具有某项功能的权限@paramuserPK验权用户PK@paramorgPK验权组织PK

UI元数据UI元数据PK业务操作的PK业务数据PKtrue:有权false:无权@paramactionPK@parambizDataPK@return@throwsBOSException@throwsEASBizException@author:ryanzhou/publicbooleanhasDataPermission(IObjectPKuserPK,IObjectPKorgPK,IMetaDataPKuiPK,IMetaDataPKactionPK,IObjectPKbizDataPK)throwsBOSException,EASBizException;/***描述：返回用户对某条业务数据是否具有某项功能的权限@paramuserPK@paramorgPK@parampermItemName@parambizData@return@throwsBOSException@throwsEASBizException@author:ryanzhou/publicbooleanhasDataPermission(IObjectPKuserPK,IObjectPKorgPK,验权用户PK验权组织PK权限项名称业务数据值对象true:有权false:无权StringpermItemName,IObjectValuebizData)throwsBOSException,EASBizException;/***描述：返回用户对某条业务数据是否具有某项功能的权限@paramuserPK验权用户PK@paramorgPK验权组织PK@paramuiPKUI元数据PK@paramactionPK业务操作的PK@parambizData业务数据值对象@returntrue:有权false无权@throwsBOSException@throwsEASBizException@author:ryanzhou/publicbooleanhasDataPermission(IObjectPKuserPK,IObjectPKorgPK,IMetaDataPKuiPK,IMetaDataPKactionPK,IObjectValuebizData)throwsBOSException,EASBizException;/***描述：检查用户对某条业务数据是否具有某项功能的权限，无权时会抛出包含提示信息的业务异常@paramuserPK验权用户PK@paramorgPK验权组织PK@parampermItemName权限项名称@parambizDataPK业务数据PK@throwsBOSException@throwsEASBizException@author:ryanzhou/publicvoidcheckDataPermission(IObjectPKuserPK,IObjectPKorgPK,StringpermItemName,IObjectPKbizDataPK)throwsBOSException,EASBizException;/**描述：检查用户对某条业务数据是否具有某项功能的权限，无权时会抛出包含提示信息的业务异常@paramuserPK验权用户PK@paramorgPK验权组织PK@paramuiPKUI元数据PK@paramactionPK业务操作的PK@parambizDataPK业务数据PK

publicvoidcheckDataPermission(lObjectPKuserPK,lObjectPKorgPK,IMetaDataPKuiPK,IMetaDataPKactionPK,IObjectPKbizDataPK)throwsBOSException,EASBizException;/@throwsBOSException@throwsEASBizException@throwsBOSException@throwsEASBizException@author:ryanzhou*/publicvoidcheckDataPermission(IObjectPKuserPK,IObjectPKorgPK,IMetaDataPKuiPK,描述：检查用户对某条业务数据是否具有某项功能的权限，无权时会抛出包含提示信息的业务异常验权用户PK验权组织验权用户PK验权组织PK@paramorgPK@parampermItemName@parambizData@parampermItemName@parambizData权限项名称业务数据值对象@throwsBOSException@throwsEASBizException@author:ryanzhou*/publicvoidcheckDataPermission(IObjectPKuserPK,IObjectPKorgPK,StringpermItemName,IObjectValuebizData)throwsBOSException,EASBizException;/**描述：检查用户对某条业务数据是否具有某项功能的权限，无权时会抛出包含提示信息的业务异常@paramuserPK@paramorgPK@paramuiPK验权用户PK验权组织@paramuserPK@paramorgPK@paramuiPKUI元数据PK@paramactionPK@parambizData业务操作的PK

业务数据值对象IMetaDataPKactionPK,lObjectValuebizData)throwsBOSException,EASBizException;/***描述：返回用户对某个功能关联业务对象有权的sqlsql返回结果类似如：SELECTFIDFROMTABWHEREFNAME='A'ORFNUMBER='B'......此时业务系统需要将该条件包含在需要验权的SQL内@paramuserPK验权用户PK@paramorgPK验权组织PK@parampermltemName权限项名称@returnSQL查询语句@throwsBOSException@throwsEASBizException@author:ryanzhou/publicStringgetQueryPermissionSQL(lObjectPKuserPK,lObjectPKorgPK,StringpermltemName)throwsBOSException,EASBizException;5.3.高级调用单据主业务组织验权业务有时不取当前登录组织验权，而是取单据上的主业务组织验权可以通过以下的设置达到该目的.必须从CORE_BlLL_BASE_TYPE或者CORE_BlLL_ENTRY_BASE_TYPE继承的实体.在info对象中重载父类的：getBizOrgPropertyName方法，返回组织对应的属性名称(实体关联属性)字段权限控制用户可以操作哪些字段功能方面实体设置1）首先选择实体，然后选择实体支持字段权限：设置扩展属性：enableFieldPermission为true2）选择字段，然后在扩展属性中选择容许字段权限：设置扩展属性：enableFieldPermission为true3）在权限项中关联支持字段权限的实体生成字段子系统树设置好实体元数据后需要生成子系统树，以下三种方式可生成字段权限子系统树：1.在BIM中执行功能生成子系统树；2.进行大^^建；3.在管理控制台，执行“产生子系统树“功能。产生的子系统树中包含的实体节点满足条件：1.实体扩展属性中设置了支持字段权限；2.实体中存在字段支持字段权限生成的字段子系统树保存在com_kingdee_eas_base_fieldpermission.mdbview启用字段权限进入用户管理界面，在“业务“菜单下，打开字段权限设置界面；字段权限设置是按照CU隔离的字段权限授权在权限分配界面进入字段授权界面，对用户在某组织下分配字段权限用户vangieEl2(ada：i若理中元可受权JIIPTKSa铝期J0的*用户vangieEl2(ada：i若理中元可受权JIIPTKSa铝期J0的*法崛科上1_g时理合计-Ij固就第11-LJ妾更单1•口卡片,--QI-期初审片皑制始化卡片;2d字氏名查看设棍煨!=aJ谀品信包.出香月4匠回b20QI3设再修*.祖W回4设日期0QI5谀总值Q.融母国8谡科信金家回QT谀注值百注回回&设....计■他回叵V设事信且.有妣虎回回JJwm人囱应11离附心.渊出利必应J2成本中心.通建回QJJ或本中心.成本中心百QIN成本中心口回同年初黔有原疸回回]&年初S!据原值画回4LT年初静用原值回团V在分配字段权限时，可以选择的字段需要符合以下几个条件1）在当前分配组织的控制单元中已经启用了该字段权限2）当前分配组织的组织类型包含字段权限对应实体的主业务组织类型3）当前组织的已分配权限中有权限项绑定字段权限所对应的实体业务操作中经常有这样的需求：用户只能对自己创建的单据进行操作，或用户只能对自己主管的部门的单据进行操作，这种规则是动态的，不能用普通的数据权限进行配置，由此产生了特殊数据权限功能方面集成单据实体要使单据支持特殊数据权限，需在配置文件中添加该单据，配置文件位置：服务器目录中${EAS_HOME}/server/profiles/server*/config/EAS_PermissionConfiguration.xml,如果是非集群环境，server*是指server1,如果是集群环境server*指所有的集群节点。添加的方式如下：<special-data-permissions><special-data-permission><name>com.kingdee.eas.fi.gl.app.Voucher</name><type>2652E01E</type></special-data-permission>其中<name>节点的内容是指单据实体的名称（包括路径），type节点指单据实体的bostype配置权限项为支持特殊数据权限，一定要有权限项关联该实体，并且权限项支持数据权限（见数据权限权限项设置）

特殊数据权限设置特殊数据权限界面：系统平台.切换CUCU下才有效;特殊数据权限是CU隔离的，即在某个CU下才有效;CU在BOS620版本，直接在特殊数据权限的界面就可切换CU口功能菜单口功能菜单消息中心定美资滥业雾对象启用掷有者根限苴地拥有若信用主管权阻1忖款里□□定美资滥业雾对象启用掷有者根限苴地拥有若信用主管权阻1忖款里□□2代理美希里□匚3他人解醉事件□□4借款第□□5其他入鹿叟nn其他出座重□□nn□业务对象授权.拥有者权限拥有者权限含义：启用拥有者权限后，只有单据的创建者才有单据的对应操作权限.1.启用拥有者权限_|功能K里切拱苔理荤元单匏尖体相有者也限启用+MB坨理重居舅吧山|振事件借”启用单据的拥有者权限后,U，映物1艮点置功髭脚拥单匏尖体相有者也限启用+MB坨理重居舅吧山|振事件借”启用单据的拥有者权限后,U，映物1艮点置功髭脚拥AJ；视1科目手工猬定♦手.…不设置芝凭证信息手工揩定...不设篁3树时单春蕾捕百滑百校4忖欺单称改不设置5也欹里HPi.TiSH枚F艮地拥有者权限设置E用且用.日月,ejiib用启用信用启用信相才可以编辑右边权限项的拥有者权限;如果启用了实体拥有者权限，并且启用了权限项的拥有者权限，则意味着只有创建者才能操作该权限项。.2.权限，并且启用了权限项的拥有者权限，则意味着只有创建者才能操作该权限项。.2.启用拥有者例外在拥有者例外中指定的用户不受拥有者权限控制,即该用户即使不是单据的创建者也有权在拥有者例外中指定的用户不受拥有者权限控制,即该用户即使不是单据的创建者也有权操作单据IUtT'EHiT况才操作单据IUtT'EHiT况才nxAfijrrtEv2S1Titty.21Titty.21MkUII即时fiiiwnpji6：H94iMa的UtfclUlltn•雷•卡片]£H翼STillMfciMM诺击晦tiWltlfl中Ui!明户■律OS用户宇后Tf5>^gli号用名无0百疝AMIII焦心l点am—WMIE嗨?U=SQfQgf脸屿mi(WWWW1meawomIWrtlnraniaai-aSJtsi™*=SMfr：-■»石T-F六m位IfWlesawimitK对awji-El选择一个单据实体，点击拥有者例外，在拥有者例外中可增加例外人员，这些人员将不受拥有者权限限制.3.其他拥有者启用拥有者例外后，可以指定其他拥有者；指定的其他拥有者拥有和创建者一样的权限;比如指定了经手人为其他拥有者，则经手人也可以对单据进行操作另用拥有者菽用耳地拥有昔月用主管权P艮□□匚□匚□口□□□□另用拥有者菽用耳地拥有昔月用主管权P艮□□匚□匚□口□□□□匚□□□□□匚科目手工指E凭证信息手;忖整单苴看主管权限主管权限含义：启用主管权限后，只有单据的创建者及创建者的主管有单据的相应操作权限，启用主管权限，默认会启用拥有者权限，设置主管权限行就期朝螂用尸芯龙役苦林限项

主管伽S止若引盒携卷业外瑞霰吕用航看双跟启向王甘桓*1]/恫美枳用设置；功的阳指定主金?眼L讨技篁ET1利目手工脸呼一市或景日用H.丰1代院£行¥口□2奘怔值息手Uf定TSB尼用自垂3O□丽于百投E用日用4惜的莫□□4时歌♦峙百！不设・启用庭闲sK松、罐罩□□5句用:克加i不设置.6PB将阳LI&行如南让不看■自用AflT出逑惜欢享□□T时某:比反而也不出置后用Bffl二|功能鼠单讣白中心授学iai*（设苴中星主只有单据的主管权限启用了，才可以设置具体权限项的主管权限;.2.指定主管权限口分能常单一；清息中心特班效招权用用户首理授嘉燃期查询沿新器切投管暹单元定支将濯酬□怕关程用读St□怕关程用读St壮翦对累启用期有若积用JT庖期有着JS用土音EPR.功施权用mw1忖我箪2代理其松境1忖我箪2代理其松境3.借力单5KteASl百其毡出海量1出差俄里更3皿申M*Q和蛤优舞攫加初蛇过期战11固定齿座车片1-3抬走上官善法指用户：-m除用尸片•溟再」，用户名用户实名用户二31拒双斯码相织名称]OOO0J胸悟2300019]01RH4早5«n供应商供应部回倒干I科目手工J『定件不遍置点击指定主管按钮，可进入指定主管界面；指定主管的含义：如果某用户不是某组织的主管，但需要行使该部门的主管权限，则可指定该用户为该部门的主管。指定主管可选择的组织限制在用户的行政组织范围内；如果行政组织范围内对应的组织删除了，在该组织下指定的主管也会被删除特殊数据权限和普通数据权限的关系特殊数据权限和普通数据权限是“且”的关系，即某个用户是否拥有某单据的权限，既要满足普通数据权限又要满足特殊数据权限版本差异特殊数据配置文件Bos620中配置文件：${EAS_HOME}/server/profiles/server*/config/EAS_PermissionConfiguration.xmlBos620以前版本，配置文件：eas\Server\server\lib\server\eas\bs_permission-server.jar\com\kingdee\eas\base\permission\app\config\PermissionConfiguration.xml切换CUBOS620:直接在特殊数据权限设置界面切换CUBOS620以前版本：在系统菜单一切换组织中切换CU特殊数据权限和普通数据权限的关系BOS620:特殊数据权限和普通数据权限是“且”的关系BOS620之前版本：特殊数据权限和普通数据权限之间是“或”的关系，二者只要满足其中一个，就有权限出于性能考虑,BOS620对用户的组