为什么普通权限配置不一定够用?

很多企业的流程数据并不是按流程天然隔离的。同一个付款流程里,可能同时存在多个公司、多个业务主体、多个项目的历史单据。只靠流程级权限,往往无法表达“同一个流程下只隐藏字段值为某些公司的单据”。

典型需求:workflowid=353,并且主表字段 fkgsmc 命中 1 或 2 时,只对部分用户隐藏历史单据和详情访问。

核心判断逻辑

  1. 先判断用户是否命中规则范围,例如全部用户、人员、分部、部门或角色。
  2. 再判断流程 ID 是否命中。
  3. 如果配置了主表过滤字段,则按 requestid 查询业务主表字段值。
  4. 字段值命中后,在列表、门户、详情、审批历史等入口过滤或拒绝。

必须覆盖哪些入口?

只隐藏待办是不够的。用户还可能从已办、我的请求、流程查询、门户流程中心、流程监控、移动端列表,甚至直接用 requestid 打开详情。

因此可见性治理至少要覆盖三层:列表入口、详情直达、审批历史。对于敏感意见,还需要支持关键字替换或移除。

上线建议

不要一开始就全量启用。建议先配置只影响测试用户的规则,验证待办、门户、详情、审批历史、表单字段显示,再逐步扩展到真实部门或角色。

什么时候适合这样做?

  • 集团多公司共用一套 E9。
  • 不希望部署第二套系统。
  • 历史审批链路不能删除或修改。
  • 需要按字段值、组织、角色精细控制可见性。