产品方案--查询引擎数据字典权限控制方案.pdfVIP免费

1/10用友股份-LE支持服务业务本部产品方案--《查询引擎数据字典权限控制方案》建立日期：2013-07-01修改日期：xxxx-xx-xx文档属性：客户文控编号：LE-DY-CP-2013-05402/10文档控制创建记录适用范围审阅人日期审阅签字所属部门发布范围内部员工伙伴客户发布人姓名所属部门发布时间日期作者所属部门邮件地址版本2013-07-01朱俊彬产品支持部V1.0版本领域模块备注3/10目录查询引擎数据字典权限控制方案............................................................................4一、需求背景............................................................................................................4二、设计思路............................................................................................................5三、原型验证............................................................................................................74/10查询引擎数据字典权限控制方案一、需求背景随着查询引擎应用的推广，以HR为首的一些业务开发部门开始尝试将查询引擎完全推向最终用户，以便适应项目的查询分析灵活性需求和减轻实施人员的交付压力。这当中最大的一个障碍就是查询设计的权限问题。虽然QE已经提供了浏览权限、数据权限等控制方案，但这些都是针对报表浏览者的，对查询设计者并没有约束作用。也就是说，如果一名普通财务人员被赋予了QE的查询设计权限，那么他就可以越权去查薪资表的数据。V53版本我们利用UAP权限模型提供的插件机制，实现了一个用于控制查询引擎DDC权限的功能。当“QE数据字典”资源权限被启用后，帐套管理员就可以在权限分配节点对公司角色（或集团角色）分配不同的数据字典权限。当某用户登录某公司（或集团）进行查询引擎向导式查询设计的时候，他必须通过数据字典选择数据表，此时系统会根据权限插件提供的接口判断他是否有权选择某张表，并给出相应的提示，从而控制用户随意选表。本方案配合几个关键按钮的权限控制（查询模型菜单下只分配参数和向导SQL按钮，编辑菜单下不分配粘贴和导入按钮），再为查询设计者建立适当的角色，即可实现对查询设计者的权限约束，使得做自定义查询不再是一件“无法无天”的事。另有几点说明如下：5/101、不对手工SQL和数据加工进行权限控制，是因为这些查询设计方式完全无法通过简单的数据表约束进行干预。事实上，能够承担查询设计任务的最终用户基本上只能使用向导式设计，因为他毕竟不是技术人员，而向导式也能够满足查询分析的灵活性要求；2、只对单数据源版本的查询引擎（客户化下）进行字典权限控制；3、只对非帐套管理员的集团用户、公司用户进行字典权限控制；4、对于存在复杂业务逻辑的查询设计权限控制需求，可依照查询引擎提供的设计插件机制实现；5、对于没有查询设计权限控制要求的项目，只要不启用“QE数据字典”资源权限的开关就可以了。由于这个开关缺省是关闭的，所以不存在升级问题。二、设计思路根据RBAC权限模型的插件要求，需要提供数据字典权限控制的插件实现类、树节点提供类，并建立一张存储权限数据的表，以及注册插件的初始化脚本。查询设计权限控制的用例图如下：6/10数据字典权限分配的类图如下（绿色部分为RBAC的类）：启用数据字典权限分配数据字典权限帐套管理员集团用户公司用户验证权限查询引擎从数据字典选表QE向导设计资源权限控制权限分配7/10查询设计权限验证的类图如下：相关权限数据表的设计如下：三、原型验证假定uap公司下有一用户uap，他属于集团角色all和所属公司的角色uaprole。验证如下：1、在资源权限控制节点，启动uap公司的QE数据字典权限；pub_power_ddcpk_powerpk_roleresource_data_idorgtypecodepk_orgiscommon_powerpk_corpCHAR(20)CHAR(20)VARCHAR2(100)SMALLINTVARCHAR2(20)CHAR(1)CHAR(4)8/102、在权限分配节点，为集团角色all分配“科目表”的字典权限；3、为公司角色uaprole分配“开户银行”的字典权限；9/104、以uap身份登录uap公司，打开查询引擎管理进行向导式查询设计；5、如果选择总帐的“凭证表”，系统提示“当前登录用户没有权限选择该表”并禁止选取；6、如果选择“科目表”或“开户银行”，系统允许选取；10/10因为这两张表属于用户uap登录uap公司后所应拥有的权限并集。