(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210903437.0 (22)申请日 2022.07.28 (71)申请人 江苏苏宁银行股份有限公司 地址 210000 江苏省南京市 建邺区河西金 融城4号楼 (72)发明人 刘颖　万文兵　 (74)专利代理 机构 南京瑞华腾知识产权代理事 务所(普通 合伙) 32368 专利代理师 胡海 (51)Int.Cl. G06F 21/31(2013.01) G06F 21/60(2013.01) G06F 21/62(2013.01) H04L 9/40(2022.01) (54)发明名称 一种基于智能报表平台的数据权限控制系 统和方法 (57)摘要 本发明提出了一种基于智能报表平台的数 据权限控制系统和方法， 该系统包括： 用户集成 模块， 用于进行统一用户管理、 统一登陆认证； 系 统函数模块， 用于提供与用户信息相关的系统函 数， 可供任务调用获取用户信息； 用户属性模块， 用于提供与用户信息相关的属性信息， 以供表达 式及函数动态获取并应用于数据权限设置； 关系 权限控制模块， 用于在关系数据源中对查询的目 标表设置数据权限， 并设置限制条件； 多维权 限 控制模块， 用于在多维数据源中对维度层次结构 设置数据权 限， 并添加过滤内容。 本发明将返回 的数据权限集合列表作为限制条件进行数据过 滤， 通过数据权限优先级控制数据权限时权限设 置， 使后期 的维护更方便， 能够大大减小报表制 作的工作量。 权利要求书2页 说明书11页 附图2页 CN 115270088 A 2022.11.01 CN 115270088 A 1.一种基于智能报表 平台的数据权限控制系统， 其特 征在于， 包括： 用户集成模块， 用于进行统一用户管理、 统一登陆认证， 实现多 套系统间的单点登陆； 系统函数模块， 用于提供与用户信息相关的系统函数， 可 供任务调用获取用户信息； 用户属性模块， 用于提供与用户信息相关的属性信息， 以供表达式及函数动态获取并 应用于数据权限设置； 关系权限控制模块， 用于在关系数据源中对查询的目标表设置数据权限， 并设置限制 条件； 多维权限控制模块， 用于在多维数据源中对维度层次结构设置数据权限， 并添加过滤 内容。 2.根据权利要求1所述的基于智能报表平台的数据权限控制系统， 其特征在于， 所述用 户集成模块包括： 用户同步单元， 用于在多套系统拥有相同的用户信息时， 以外部系统作为统一用户管 理平台， 将统一用户管理平台的用户信息同步至报表 平台； 时效判断单元， 用于判断报表平台用户同步的时效性要求， 若时效性要求低， 则使用存 储过程或ETL定时将第三方系统中的用户信息同步到报表平台的用户表中， 若时效性要求 高， 则在第三方系统中使用报表 平台用户管理的远程调用接口实现用户信息的同步； 组同步单元， 用于同步用户组表t_group， 并同步用户组与角色对应关系表t_group_ role； 表同步单元， 用于同步用户表t_user、 用户组与用户对应表t_group_user、 用户与角色 对应关系表 t_user_ro le； 角色同步单 元， 用于同步角色表 t_role； 权限同步单元， 用于同步操作权限表t_funclist、 角色与操作权限关系表t_role_ func； 用户验证单 元， 用于验证用户是否是合法的系统用户。 3.根据权利要求1所述的基于智能报表平台的数据权限控制系统， 其特征在于， 所述设 置限制条件， 包括： 设置数据权限的生效对象， 所述 生效对象包括用户组、 角色、 用户； 根据数据权限优先级的顺序， 执 行数据权限； 设置数据权限对于生效对象的生效范围。 4.根据权利要求1所述的基于智能报表平台的数据权限控制系统， 其特征在于， 所述多 维权限控制模块， 包括： 映射设置单 元， 用于设置维度信息和用户信息之间的映射关系， 以实现数据权限控制； 简单设置单 元， 用于设置维度信息和角色信息之间的可 见关系， 以实现数据权限控制； 高级设置单 元， 用于过 滤用户允许访问的维成员子树， 以实现数据权限控制。 5.根据权利要求4所述的基于智能报表平台的数据权限控制系统， 其特征在于， 所述高 级设置单 元， 包括： 例外角色子单元， 用于设置数据权限不生效的角色， 属于所述角色下的用户 和用户组 不继承当前 数据权限； 表达式子单元， 用于通过MDX语句设置用户可以访问的层次结构和最顶层成员， 返回的权　利　要　求　书 1/2 页 2 CN 115270088 A 2是一个成员集； 通过MDX语句来判断成员访问权限， 以对 所述层次结构所有成员的访问合法 性校验； 语法校验子单元， 用于校验MDX语法校验表达式的正确与否， 通过校验才允许保存当前 设置。 6.一种如根据权利要求1 ‑5任一项所述的基于智能报表平台的数据权限控制系统 的控 制方法， 其特 征在于， 包括如下步骤： 预先在第三方系统中维护用户信 息， 并利用报表平台的用户集成模块同步所述用户信 息； 通过用户账户登陆报表平台， 获取与所述用户账户对应的用户信息， 进行权限校验和 登陆认证； 在所述报表平台的目录中选择需要查询的报表， 获取用户账户和报表ID， 并传递到参 数数据集中； 在参数数据集的限制条件中调用系统函数， 查询报表平台的知识库获取用户 属性， 并 根据所述用户属性获得用户能访问的数据权限集 合列表； 将所述数据权限集 合列表作为限制条件进行 数据过滤， 获得用于展示的报表数据集。 7.根据权利要求6所述的基于智能报表平台的数据权限控制系统的控制方法， 其特征 在于， 所述用户信息包括账号、 密码、 用户名称、 别名、 所属组、 所属机构、 所属角色和操作权 限， 则所述利用报表 平台的用户集成模块同步所述用户信息， 包括： 判断报表平台用户同步的时效性要求， 若时效性要求低， 则使用存储过程或ETL定时将 第三方系统中的用户信息同步到报表平台的用户表中； 若时效性要求高， 则在第三方系统 中使用报表 平台用户管理的远程调用接口实现用户信息的同步。 8.根据权利要求6所述的基于智能报表平台的数据权限控制系统的控制方法， 其特征 在于， 当所述报表是基于关系 数据源创建而成时， 所述在参数数据集的限制条件中调用系 统函数， 查询报表 平台的知识库获取用户属性， 包括： 调用关系权限控制模块， 通过其中设置的限制条件限制用户可以查看到的具体数据内 容， 所述限制条件 包括适用对象、 优先级和使用范围； 在关系权限控制模块中， 调用用户 属性模块， 将识别到的用户 属性信息传递到参数数 据集中， 以确定当前用户的属性信息 。 9.根据权利要求6所述的基于智能报表平台的数据权限控制系统的控制方法， 其特征 在于， 当所述报表是基于多维数据源创建而成时， 所述在参数数据集的限制条件中调用系 统函数， 查询报表 平台的知识库获取用户属性， 包括： 调用多维权限控制模块， 通过MDX语句对一维度层次结构控制数据权限， 以限制用户可 以查看到的具体数据内容； 在多维权限控制模块中， 设置多维分析参数和自定义成员/命名集， 以实现动态获取当 前用户权限内的成员。权　利　要　求　书 2/2 页 3 CN 115270088 A 3