记录学习ruoyi 第七节: 用户权限管理

已于 2022-11-05 08:55:24 修改
阅读量2.6k 收藏 3
点赞数 1
文章标签: 学习
于 2022-11-02 09:33:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Autumn_iii/article/details/127634745
版权

目录

后端源码解析

Controller

DataScope

AOP 类DataScopeAspect 

handleDataScope

dataScopeFilter

前端展示效果

不同权限思维导图图

后端源码解析

Controller

        1.前端发送请求,后端接收get,里面做的是分页需要继续深入selectUserList才能看到对应的修改。

@RestController
@RequestMapping("/system/user")
public class SysUserController extends BaseController
{
    ......
    @GetMapping("/list")
    public TableDataInfo list(SysUser user)
    {
        startPage();
        List<SysUser> list = userService.selectUserList(user);
        return getDataTable(list);
    }
    .....
}

DataScope

在selectUserList中有注解DataScope

注意

        1.部门别名和用户别名用在SQL 语句中,
        2.需要跟SQL 语句给部门和用户表名的别名保持一致

@Service
public class SysUserServiceImpl implements ISysUserService
{
    ......
    @Override
    @DataScope(deptAlias = "d", userAlias = "u")
    public List<SysUser> selectUserList(SysUser user)
    {

        return userMapper.selectUserList(user);
    }
    ......
}

注解@DataScope 定义

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataScope
{
    /**
     * 部门表的别名
     */
    public String deptAlias() default "";

    /**
     * 用户表的别名
     */
    public String userAlias() default "";

    /**
     * 权限字符(用于多个角色匹配符合要求的权限)默认根据权限注解@ss获取,多个权限用逗号分隔开来
     */
    public String permission() default "";
}

AOP 类DataScopeAspect 

        注意:加上注解@DataScope的函数要被执行时,先执行doBefore,这里相当于前面的selectUserList在执行时被doBefore拦截,先执行了doBefore里的语句再执行加上注解@DataScope的函数

@Aspect
@Component
public class DataScopeAspect
{
    ......
    @Before("@annotation(controllerDataScope)")
    public void doBefore(JoinPoint point, DataScope controllerDataScope) throws Throwable
    {
        clearDataScope(point);
        handleDataScope(point, controllerDataScope);
    }
    ......
}

handleDataScope

        doBefore继续进入函数handleDataScope,这里会获取当前登录的用户,然后通过dataScopeFilter函数来组件对应XML里的${params.dataScope}

        if(条件是不为空并且不为管理员):管理员不需要加过滤数据,不为Admin则进入if中进入dataScopeFilter

protected void handleDataScope(final JoinPoint joinPoint, DataScope controllerDataScope)
    {
        // 获取当前的用户
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNotNull(loginUser))
        {
            SysUser currentUser = loginUser.getUser();
            // 如果是超级管理员,则不过滤数据
            if (StringUtils.isNotNull(currentUser) && !currentUser.isAdmin())
            {
                String permission = StringUtils.defaultIfEmpty(controllerDataScope.permission(), PermissionContextHolder.getContext());
                dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(),
                        controllerDataScope.userAlias(), permission);
            }
        }
    }

dataScopeFilter

                                

DATA_SCOPE_DEPT.equals(dataScope)

 在其中dataScope是满足本部门数据权限就会给DATA_SCOPE_DEPT常量赋值,对应值1-5  

这里因为有有测试3中情况但超级管理员不传入函数所以DATA_SCOPE_DEPT会是3和5两种

等效与1:自定义权限(OR {}.dept_id = {} ", deptAlias, user.getDeptId()) =  OR d.dept_id = 105。(自定义权限跟部门表有关,需要通过dept_id去找,SQL返回部门全部数据)

           2:本人权限(OR {}.user_id = {} ", userAlias, user.getUserId() =  OR u.user_id = 用户的编码(本人权限只有找到自己的user_id返回,这里提供humou的例子u.user_id被改为100,SQL只能返回自己这条数据)

 

public static void dataScopeFilter(JoinPoint joinPoint, SysUser user, String deptAlias, String userAlias, String permission)
{
    ......
    else if (DATA_SCOPE_DEPT.equals(dataScope))
    {
         sqlString.append(StringUtils.format(" OR {}.dept_id = {} ", deptAlias, user.getDeptId()));
     }
    ......
else if (DATA_SCOPE_SELF.equals(dataScope))
            {
                if (StringUtils.isNotBlank(userAlias))
                {
                    sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId()));
                }
                else
                {
                    // 数据权限为仅本人且没有userAlias别名不查询任何数据
                    sqlString.append(StringUtils.format(" OR {}.dept_id = 0 ", deptAlias));
                }
            }
    ......
            
    if (StringUtils.isNotBlank(sqlString.toString()))
        {
            Object params = joinPoint.getArgs()[0];
            if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
            {
                BaseEntity baseEntity = (BaseEntity) params;
                baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");
            }
        }

}

这里就是对应的XML里的sql语句,然后会根据dataScopeFilter函数组装的AND + sql语句赋值给${params.dataScope},通过查询的的结果返回给前端List

<select id="selectUserList" parameterType="SysUser" resultMap="SysUserResult">
		select u.user_id, u.dept_id, u.nick_name, u.user_name, u.email, u.avatar, u.phonenumber, u.sex, u.status, u.del_flag, u.login_ip, u.login_date, u.create_by, u.create_time, u.remark, d.dept_name, d.leader from sys_user u
		left join sys_dept d on u.dept_id = d.dept_id
		where u.del_flag = '0'
		<if test="userId != null and userId != 0">
			AND u.user_id = #{userId}
		</if>
		<if test="userName != null and userName != ''">
			AND u.user_name like concat('%', #{userName}, '%')
		</if>
		<if test="status != null and status != ''">
			AND u.status = #{status}
		</if>
		<if test="phonenumber != null and phonenumber != ''">
			AND u.phonenumber like concat('%', #{phonenumber}, '%')
		</if>
		<if test="params.beginTime != null and params.beginTime != ''"><!-- 开始时间检索 -->
			AND date_format(u.create_time,'%y%m%d') &gt;= date_format(#{params.beginTime},'%y%m%d')
		</if>
		<if test="params.endTime != null and params.endTime != ''"><!-- 结束时间检索 -->
			AND date_format(u.create_time,'%y%m%d') &lt;= date_format(#{params.endTime},'%y%m%d')
		</if>
		<if test="deptId != null and deptId != 0">
			AND (u.dept_id = #{deptId} OR u.dept_id IN ( SELECT t.dept_id FROM sys_dept t WHERE find_in_set(#{deptId}, ancestors) ))
		</if>
		<!-- 数据范围过滤 -->
		${params.dataScope}
	</select>

前端展示效果

这里新建两个用户(一个为普通员工(本人数据权限),一个为项目负责人(自定义数据权限))

超级管理员对应的sql查询 where是没有做任何的其他条件

注意若输入框如(用户名称,手机号码,状态等都为空)否则XML里也是会对where进行附加条件的。

两个角色都是财务部,自定义数据权限这里给与财务部权限

 普通员工就只有本人权限

使用humoumou登录可以看到财务部门的全部用户,但ry用户因为不是同一个部门所以看不到

d.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id = 3 ) 找的是测试部门的id,select返回测试部门的所以数据 

使用humou登录因为是本人权限前端只展示有自己一个人

本人数据全选对应的sql条件也就是找user里找到对应人员的id

阳光总在风雨后i
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SecurityUtils.getSubject().getPrincipal()为null
m0_37635053的博客
10-30 1万+
我在项目中获取getUserId(),和getUserName()获取不到值。 他们都是通过SecurityUtils.getSubject().getPrincipal()去获取的。 反复测试发现原因是 :在shiroConfig里面: 该方法,注意(是该接口名)被写为anon,不通过验证,即: filterMap.put("/druid/**", “anon”); 这种写法是为了postman...
ruoyi框架使用自定义用户表登录
renkai721的专栏
09-22 2015
ruoyi框架使用自定义用户登录,若依框架修改登录用户,若依框架修改登录逻辑
开发经验:若依前后端分离框架没有获取用户信息逻辑但是报获取用户信息异常问题。
最新发布
zzz666888xxx的博客
05-29 299
如果你是用若依生成的代码可以参考一下我这个问题,如果你在SecurityConfig中添加了匿名访问出现了这个异常可以删除掉@Log这个注解试一下。在代码中我没有使用若依框架中的获取用户信息方法但是却报了异常,
ruoyi的springboot企业微信登录方式实现(企业内部应用开发)
qq_42706375的博客
12-17 3518
集成ruoyi的springboot前后端分离企业微信扫码登录
21年个人笔记
与海
12-08 706
工作日常
SecurityUtils.getUser()获取为空
weixin_43930851的博客
11-09 1341
SecurityUtils.getUser() Authentication
框架获取当前登录用户以及用户信息
Lycos
09-21 8873
📫 作者「六月暴雪飞梨花」,专注于研究Java,就职于科技型公司后端中级工程师 🔥 三连支持: ❤️关注、👍点赞、👉收藏三连,支持一下博主~ 参加或活动[CSDN话题挑战赛第2期]
ruoyi后台管理系统不分离版
03-21
4. **权限管理**:RuoYi系统通常包含完善的权限控制模块,如用户、角色、菜单、操作权限的关联管理,支持RBAC(Role-Based Access Control)模型,能实现细粒度的权限分配。 5. **页面组件**:可能采用了诸如...
ruoyi.zip若依框架写的后台管理
10-14
1. **模块化设计**:若依框架采用了模块化的开发方式,将系统拆分为多个独立的模块,如用户管理、角色管理、权限控制等,方便扩展和维护。 2. **前后端分离**:它支持前后端分离的开发模式,前端可以使用Vue、React...
固定资产管理源码(java)
03-22
7. 角色权限分配:根据企业需求,可以灵活设定不同角色的权限,如资产管理员、部门负责人等,保证信息的保密性和操作的合规性。 总结,本系统的实现充分利用了Java的稳定性和若依框架的高效性,结合layui的优美界面...
springboot 后台管理,大家一起学习
03-28
2. **权限管理**:完善RBAC(Role-Based Access Control)权限管理,实现用户、角色、权限的动态分配,确保系统安全。 3. **数据字典**:设计并实现数据字典功能,规范系统中的枚举类型,方便后期维护和扩展。 4. ...
客户关系管理系统-html+springboot-若依框架
06-22
1. 用户认证与授权:利用SpringBoot的安全模块,实现用户登录、角色权限管理,确保只有授权的用户可以访问特定资源。 2. 数据库设计:可能使用MySQL、Oracle等关系型数据库,存储客户信息、订单记录、联系历史等数据...
权限拦截器 用户信息验证
小灰的博客
06-07 695
1.权限拦截器是基于角色做的权限 2.用户信息拦截是检测用户登录的时效性package com.qiu.framework.web.interceptor; import java.util.List; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; i
若依框架怎么获取用户和角色信息
weixin_44568816的博客
08-27 501
若依框架怎么获取用户和角色信息
mybatis-plus统一处理数据权限
x_u_xiang的博客
07-14 8958
问题:项目要求数据权限配置查询,全部、自定义、部门、部门及下级部门、个人。要求做统一处理。 分析: 数据权限精确到个人。那么每张表里面都要有创建人字段。每次插入数据都要保存创建人。查询的时候才能区分。 mybatis-plus统一处理创建时间,创建人,更新时间,更新人:统一处理创建人 查询的时候每个查询加条件代码太复杂。所以sql加统一处理例: SELECT %s FROM (%s) temp_data_scope WHERE temp_data_scope.%s IN (%s) 第一
若依获取当前登录用户信息Java
weixin_44647098的博客
04-18 5494
SecurityUtils.getLoginUser()
RuoYi 后端登录流程
qq_63560615的博客
10-30 585
今天来解析一下若依登录时的总体流程(我是渣渣,找了大佬的博客学习才大致搞懂)
ruoyi 如何获取用户登录信息
01-26 2525
【代码】ruoyi 如何获取用户登录信息。
Java安全框架Shiro
lihangfu的博客
07-17 848
一、Shiro 为什么要用shiro: 1、项目中的密码是否可以明文存储? 2、是否任意访客,无论是否登录都可以访问任何功能? 3、项目中的各种功能操作,是否是所有用户都可以随意使用? 1.1 Shiro是什么 * Apache Shiro 是 Java 的一个安全框架。 * 对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。 * Shiro 可以帮助我们完成:认证、授权、加
SysUser user = SecurityUtils.getLoginUser().getUser();
07-27
引用\[2\]中的代码段展示了一个后端接口的实现,其中的`SysUser user = SecurityUtils.getLoginUser().getUser();`是获取当前登录用户的信息。这段代码的作用是从`SecurityUtils`中获取登录用户的信息,并将其赋值给`user`变量。在这个例子中,`SecurityUtils`是一个工具类,`getLoginUser()`方法返回一个`LoginUser`对象,而`getUser()`方法则返回该对象中的`SysUser`信息。所以,`SysUser user = SecurityUtils.getLoginUser().getUser();`这行代码的作用是获取当前登录用户的`SysUser`对象。 #### 引用[.reference_title] - *1* [反射调用get和set方法](https://blog.csdn.net/liuyuinsdu/article/details/121127052)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [若依框架原理及使用(一)](https://blog.csdn.net/weixin_52210557/article/details/121611329)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阳光总在风雨后i

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值