Mybatis实现数据权限控制

已于 2024-02-06 14:17:52 修改
阅读量834 收藏 32
点赞数 29
文章标签: mybatis java 开发语言
于 2024-02-06 14:13:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DGBhandsome/article/details/136055811
版权

## Mybatis实现方式

1.实现思想

利用Mybatis中提供的方法,可以实现SQL的提前拦截然后重新进行sql拼装的方式来让查询sql做到数据隔离的效果

2.具体实现过程

注:实现过程仅供参考,具体定义什么字段,如何实现根据实际业务进行定义

  1.  第一步是创建使用的注解,注解主要包含了作用表的别名 tableAlias(),以及默认所需维护的仓库库位id字段warehouseField() 
    /**
 * 数据权限控制注解
 * 默认加上该注解会进行数据权限控制,相关业务不需要数据权限控制的话无需加上该注解
 * 该注解使用在方法上
 */
@Target({ElementType.METHOD,ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface FactoryDataScope {
    /**
     * 作用表的别名
     */
    String tableAlias() default "";
    /**
     *仓库库位表字段名
     */
    String warehouseField() default "warehouse_field";
}
  2.  创建一个获取权限集合的工具类,具体如何实现根据自己的项目进行开发,最终实现的效果是获取如某个用户的权限集合 
    /**
 * 获取用户信息
 * 用于获取用户的相关角色信息、权限信息
 */
@Slf4j
@Service
public class WarehousePermissionUtils {
    @Autowired
    private AuthFeignClient authFeignClient;
    @Autowired
    private StoreFeignClients storeFeignClients;

    //获取用户权限集合
    public Map<String, List<Integer>> getPermission(){
        Map<String, List<Integer>> permissionMap = new HashMap<>();
        //存放最终的所以仓库id集合
        List<Integer> warehouseModels = new ArrayList<>();
        //获取当前用户id
        Integer userId =  BaseContextHandler.getUserID();
        //根据当前用户id获取对应的数据角色集合
        Result<List<Integer>> rolesByUserIds = authFeignClient.getRolesByUserIds(userId, 2);
        if(ObjectUtils.isNotEmpty(rolesByUserIds)){
            rolesByUserIds.getData().stream().forEach(rolesByUserId->{
                //获取当前用户所有的仓库权限
                Result<List<AuthRoleWarehouse>> authRoleWarehouse = authFeignClient.getRoleWarehouse(rolesByUserId);
                List<Integer> warehouseIds = authRoleWarehouse.getData().stream().map(warehouse -> {
                    return warehouse.getWarehouseId();
                }).collect(Collectors.toList());
                warehouseModels.addAll(warehouseIds);
//                warehouseIds.stream().forEach(warehouseId->{
//                    //获取当前仓库节点的所有子节点id
//                    Result<List<Long>> WarehouseModelDtos = storeFeignClients.getByWarehouseModelId(Long.parseLong(String.valueOf(warehouseId)));
//                    List<Integer> warehouseModelId = WarehouseModelDtos.getData().stream().map(warehouseModelDto -> {
//                        return Integer.parseInt(String.valueOf(warehouseModelDto));
//                    }).collect(Collectors.toList());
//                    warehouseModels.addAll(warehouseModelId);
//                });
            });
            //有些父节点重复了,进行去重
            List<Integer> result = warehouseModels.stream().distinct().collect(Collectors.toList());
            permissionMap.put("warehouseModel",result);
        }
        return permissionMap;
    }

}
  3. 编写一个数据过滤的配置类,主要实现方式是通过本地线程的相关特性来实现原有sql的替换,同时可以在获取到注解的同时做一些权限处理,如超级管理员的sql处理等 
    import com.baomidou.mybatisplus.extension.plugins.handler.DataPermissionHandler;
import com.sw.mes.core.annotation.WarehouseDataScope;
import com.sw.mes.core.context.BaseContextHandler;
import com.sw.mes.core.utils.WarehousePermissionUtils;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;
import net.sf.jsqlparser.expression.Expression;
import net.sf.jsqlparser.expression.HexValue;
import net.sf.jsqlparser.expression.LongValue;
import net.sf.jsqlparser.expression.operators.conditional.AndExpression;
import net.sf.jsqlparser.expression.operators.relational.ExpressionList;
import net.sf.jsqlparser.expression.operators.relational.InExpression;
import net.sf.jsqlparser.expression.operators.relational.ItemsList;
import net.sf.jsqlparser.schema.Column;
import org.apache.commons.collections.CollectionUtils;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.Signature;
import org.aspectj.lang.annotation.After;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.lang.reflect.Method;
import java.util.List;
import java.util.Map;
import java.util.stream.Collectors;

@Aspect
@Slf4j
@Component
public class WarehouseFilterConfig implements DataPermissionHandler {
    /**
     * 通过ThreadLocal记录权限相关的属性值
     */
    ThreadLocal<DataScopeParam> threadLocal = new ThreadLocal<>();
    @Autowired
    private WarehousePermissionUtils userUtils;

    /**
     * 清空当前线程上次保存的权限信息
     */
    @After("dataScopePointCut()")
    public void clearThreadLocal(){
        threadLocal.remove();
    }

    /**
     * 注解对象
     * 该成员变量在并发情况下导致多个线程公用了一套 @DataScope 配置的参数,导致sql拼接失败,必须改为局部变量
     * 修改于:2022.04.28
     */
//    private DataScope controllerDataScope;

    /**
     * 配置织入点
     */
    @Pointcut("@annotation(com.sw.mes.core.annotation.WarehouseDataScope)")
    public void dataScopePointCut() {
    }

    @Before("dataScopePointCut()")
    public void doBefore(JoinPoint point) {
        // 获得注解
        WarehouseDataScope controllerDataScope = getAnnotationLog(point);
        if (controllerDataScope != null) {
            // 获取当前的用户及相关属性,需提前获取和保存数据权限对应的部门ID集合
            Map<String, List<Integer>> permission = userUtils.getPermission();
            DataScopeParam dataScopeParam = new DataScopeParam(controllerDataScope.tableAlias(),
                    controllerDataScope.warehouseField(),
                    BaseContextHandler.getUsername().equals("admin")?false:false,
                    permission.get("warehouseModel"));
            threadLocal.set(dataScopeParam);
        }
    }

    /**
     * 是否存在注解,如果存在就获取
     */
    private WarehouseDataScope getAnnotationLog(JoinPoint joinPoint) {
        Signature signature = joinPoint.getSignature();
        MethodSignature methodSignature = (MethodSignature) signature;
        Method method = methodSignature.getMethod();
        if (method != null) {
            return method.getAnnotation(WarehouseDataScope.class);
        }
        return null;
    }

    /**
     * @param where             原SQL Where 条件表达式
     * @param mappedStatementId Mapper接口方法ID
     * @return
     */
    @SneakyThrows
    @Override
    public Expression getSqlSegment(Expression where, String mappedStatementId) {
        DataScopeParam dataScopeParam = threadLocal.get();
        if(dataScopeParam == null || dataScopeParam.isAdmin()){
            return where;
        }

        if (where == null) {
            where = new HexValue(" 1 = 1 ");
        }

        String deptSql = "".equals(dataScopeParam.tableAlias) ? dataScopeParam.warehouseField : dataScopeParam.tableAlias + "." + dataScopeParam.warehouseField;

        // 把集合转变为JSQLParser需要的元素列表
        ItemsList itemsList;
        if(CollectionUtils.isEmpty(dataScopeParam.secretary)){
            //如果权限为空,则只能看自己部门的
            itemsList = null;
        }else {
            //查看权限内的数据
            itemsList = new ExpressionList(dataScopeParam.secretary.stream().map(LongValue::new).collect(Collectors.toList()));
        }
        InExpression inExpression = new InExpression(new Column(deptSql), itemsList);
        return new AndExpression(where, inExpression);

    }

    /**
     * ThreadLocal存储对象
     */
    @Data
    @AllArgsConstructor
    static class DataScopeParam{
        /**
         * 作用表别名
         */
        private String tableAlias;

        /**
         * 仓库作用字段名
         */
        private String warehouseField;

        /**
         * 是否是管理员
         */
        private boolean isAdmin;

        /**
         * 数据权限范围
         */
        private List<Integer> secretary;
    }
}
  4. 把自定义好的类注入到MyBatisCofig配置类中,这样才能保障每次需要执行SQL时都会走自定义的类 
    @Configuration
@MapperScan("com.sw.mes.store.mapper")
public class MybatisConfig {

    @Autowired
    @Lazy
    private WarehouseFilterConfig warehouseFilterConfig;
    /**
     * 数据库驱动类
     */
    @Value("${jdbc.driverClassName}")
    private String driverClassName;

    /**
     * 数据库路径测试环境
     */
    @Value("${jdbc.url}")
    private String url;
    /**
     * 数据库名称
     */
    @Value("${jdbc.username}")
    private String username;

    /**
     * 数据库密码
     */
    @Value("${jdbc.password}")
    private String password;

    /**
     * 默认提交
     */
    private static final boolean defaultAutoCommit = true;

    /**
     * 连接池的最大数据库连接数。设为0表示无限制。
     */
    private static final int maxActive = 150;

    /**
     * 最大空闲数,数据库连接的最大空闲时间。超过空闲时间,数据库连接将被标记为不可用,然后被释放。设为0表示无限制。
     */
    private static final int maxIdle = 100;

    /**
     * 最小空闲数,
     */
    private static final int minIdle = 5;

    /**
     * 最大建立连接等待时间。如果超过此时间将接到异常。设为-1表示无限制。
     */
    private static final int maxWait = 60000;

    @Bean
    public DataSource getDataSource() {
        DruidDataSource dataSource = new DruidDataSource();
        dataSource.setDriverClassName(driverClassName);
        dataSource.setUrl(url);
        dataSource.setUsername(username);
        dataSource.setPassword(password);
        dataSource.setDefaultAutoCommit(defaultAutoCommit);
        dataSource.setMaxActive(maxActive);
        dataSource.setMinIdle(minIdle);
        dataSource.setMaxWait(maxWait);
        dataSource.setTestWhileIdle(true);
        dataSource.setValidationQuery("select 1");
        dataSource.setTestOnBorrow(true);
        dataSource.setTestOnReturn(false);
        dataSource.setRemoveAbandoned(true);
        dataSource.setRemoveAbandonedTimeout(120);
        dataSource.setTimeBetweenEvictionRunsMillis(30000);
        dataSource.setMinEvictableIdleTimeMillis(1800000);
        return dataSource;
    }

    @Bean
    public MybatisSqlSessionFactoryBean getSqlSessionFactory(DataSource dataSource) throws Exception {
        MybatisSqlSessionFactoryBean mybatisSqlSessionFactoryBean = new MybatisSqlSessionFactoryBean();
        mybatisSqlSessionFactoryBean.setDataSource(dataSource);
        mybatisSqlSessionFactoryBean.setTypeAliasesPackage("com.sw.mes.store.entity");
        PathMatchingResourcePatternResolver resolver = new PathMatchingResourcePatternResolver();
        mybatisSqlSessionFactoryBean.setConfigLocation(resolver.getResource("classpath:config/mybatis-config.xml"));
        mybatisSqlSessionFactoryBean.setMapperLocations(resolver.getResources("classpath*:mapper/*.xml"));
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        // 添加数据权限插件
        DataPermissionInterceptor warehousePermission = new DataPermissionInterceptor();
        // 添加自定义的数据权限处理器
        warehousePermission.setDataPermissionHandler(warehouseFilterConfig);
        interceptor.addInnerInterceptor(warehousePermission);
        //设置分页插件
        interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));
        Interceptor[] plugins = {interceptor};
        mybatisSqlSessionFactoryBean.setPlugins(plugins);
        return mybatisSqlSessionFactoryBean;
    }


    @Bean
    public PlatformTransactionManager transactionManager(DataSource dataSource) {
        return new DataSourceTransactionManager(dataSource);
    }


}

  5. 注解使用说明:
    该注解使用的对象实在具体的方法上,如查询分页列表接口可以直接在上面加上注解,注解中有两个参数,一个是作用表的别名,一个是作用字段,目前设计的是字段默认是warehouse_id,如果有变化需要手动在注解后把第二个参数填入@WarehouseDataScope:仓库数据权限注解,该方法需要按照仓库模式数据权限过滤则加上该注解,否则反之
    -- tableAlias: 作用表别名参数 必填
    -- warehouseField: 作用字段参数 选填,不填则填入默认值

总结:思路永远都是引路者,不是实现者,具体实现还是要根据自己的实际业务做。嗯~在码农的路上保持分享!!!

JPA的数据权限也做了,但是做的不是很完美,后面完善之后在分享吧!

自由自在的快乐学习仔
关注
  • 29
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【D3S】数据权限 - 基于Mybatis数据权限拦截器实现
罗小爬的技术宝书
07-02 1347
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
Java如何利用Mybatis进行数据权限控制详解
08-25
主要介绍了Java如何利用Mybatis进行数据权限控制详解,数据权限控制最终的效果是会要求在同一个数据请求方法中,根据不同的权限返回不同的数据集,而且无需并且不能由研发编码控制。,需要的朋友可以参考下
MyBatis拦截器实现数据范围权限控制,超简单!
八戒的博客
11-03 524
数据范围权限控制是许多应用程序中的重要需求,特别是在多租户系统或需要根据用户权限控制数据访问的场景中。在本文中,我们将介绍如何使用拦截器自动装配方式来实现数据范围权限控制,为应用程序提供高度可扩展的解决方案。
MybatisPlus实现数据权限隔离
最新发布
cz285933169的专栏
04-10 701
引言 Mybatis Plus对Mybatis做了无侵入的增强,非常的好用,今天就给大家介绍它的其中一个实用功能:数据权限插件。 数据权限插件的应用场景和多租户的动态拦截拼接SQL一样。
Mybatis-Plus入门系列(18) -基于注解的动态数据权限实现方案
记录知识、锤炼自我
11-09 5904
数据权限简介 前言 一般的系统都离不开权限模块,它是支撑整个系统运行的基础模块。而根据项目类型和需求的不同,权限模块的设计更是大相径庭。但不管怎么变,权限模块从大的方面来说,可以分为三种大的类型:功能权限、接口权限数据权限。 功能权限:也就是我们最熟悉的菜单、按钮权限。可以配置各个角色能看到的菜单、按钮从而从最表层分配好权限 接口权限:顾名思义,配置不通角色调用接口的权限。有些敏感接口,是只能有固定的一些角色才能调用,普通角色是不能调用的。这种情况需要有一个明确的系统来控制对应的访问权限 数据权限:是大家
使用mybaits插件实现数据权限
学习笔记
08-03 730
在业务系统开发中,数据权限的需求是少不了的.大多数都是根据操作人的角色限制数据范围,例如只能查询某些部门,类型或者用户的数据.
MyBatis Plus 拦截器实现数据权限控制
progammer10086的博客
05-18 3753
上篇文章介绍的MyBatis Plus 插件实际上就是用拦截器实现的,MyBatis Plus拦截器对MyBatis的拦截器进行了包装处理,操作起来更加方便MyBatis Plus提供的InnerInterceptor接口提供了如下方法,主要包括:在查询之前执行,在更新之前执行,在SQL准备之前执行/**return;} } /*** 查询。
mybatis拦截器实现数据权限
BASK2311的博客
06-10 1031
前端的菜单和按钮权限都可以通过配置来实现,但很多时候,后台查询数据数据权限需要通过手动添加SQL来实现。比如员工打卡记录表,有id,name,dpt_id,company_id等字段,后两个表示部门ID和分公司ID。当一个总部账号可以查看全部数据此时,sql无需改变。因为他可以看到全部数据。当一个部门管理员权限员工查看全部数据时,sql需要在末属添加如果每个功能模块都需要手动写代码去拿到当前登陆用户的所属部门,然后手动添加where条件,就显得非常的繁琐。
数据权限验证MyBatis
coolmsn8786的博客
09-11 361
之前数据权限的一个设想 http://blog.itpub.net/29254281/viewspace-2212990/ 存在几个问题 ...
利用Mybatis拦截器实现数据权限
马明的博客
03-10 3335
个人博客纯净版 利用Mybatis拦截器实现数据权限 在我们日常开发过程中,通常会涉及到数据权限问题,下面以我们常见的一种场景举例: 一个公司有很多部门,每个人所处的部门和角色也不同,所以数据权限也可能不同,比如超级管理员可以查看某张 表的素有信息,部门领导可以查看该部门下的相关信息,部门普通人员只可以查看个人相关信息,而且由于角色的 不同,各个角色所能查看到的数据库字段也可能不相同,那么此处就涉及到了数据权限相关的问题。那么我们该如 何处理数据权限相关的问题呢?我们提供一种通过Mybat.
springBoot+security+mybatis 实现用户权限数据库动态管理
05-03
NULL 博文链接:https://veiking.iteye.com/blog/2429172
数据权限控制
03-09
支持各种数字信息的权限控制,主导思路采用的是自定义方言,完成对sql语句的控制,达到对数据安全的控制
mybatis-datalimit:基于mybatis数据权限配置框架
05-14
mybatis-datalimit: 基于myabtis的数据权限控制模块 mybatis-datalimit是什么? 数据权限控制是几乎每一个业务系统都要实现的一个功能,很多业务系统采用硬编码的方式将数据权限控制逻辑写入业务代码中,这种实现方式让我们的业务代码中充斥着大量的与业务无关的重复代码,并且数据权限有变化需求就必须 修改代码->测试->发布,增加了需求响应时间。 mybatis-datalimit是一个基于mybatis数据权限模块,可以做到: 对业务代码无侵入:通过mybatis拦截器插入权限控制逻辑,对业务代码0侵入; 实时调整数据权限:将数据权限相关逻辑配置到数据库中,通过更改配置实时调整数据权限,并且可以随时去掉某个SQL的数据权限控制实现数据权限的热插拔。 Quick Start 下面的例子将展示如何在项目中应用mybatis-datalimit。 STEP 1.
auth-center:mybatis数据权限控制插件
05-14
auth-center mybatis数据权限控制插件 业务系统可以通过加装数据权限插件,在业务代码侧方便的进行数据权限控制: 针对特定类型的数据,包括下面几种场景: 只能本人查看 只能本职位查看 本职位以及下属可以查看 只指定职位可以查看 只指定职位及其下属可以查看
springboot+mybatis+shiro权限控制
04-04
springboot+mybatis+shiro+mysql实现 数据查询,动态权限控制,以及错误统一拦截处理,权限控制的是控制后台粗粒度控制。想要页面实现细粒度,直接在页面加shrio的标签就行,后台都是整通了的,压缩包中包含 数据库...
EasyUI+Sping+Shiro+SpringMVC+MyBatis实现的用户角色权限管理系统
11-21
实现了用户-角色-权限三者结合的功能权限颗粒化控制: 按钮根据权限限制 菜单根据权限显示 所有相关URL根据权限拦截,数据权限暂时以用户为中心查询: 查询部门只能查询本部门以及子级部门 查询用户只能查询本级没有...
数据权限——Mybatis拦截器实现
u014800975的博客
05-08 893
一、需求背景介绍 1、需求介绍 需要实现数据权限管理,包含角色:普通用户、组长、管理员。其中普通用户只能看到自己创建的项目,组长能看到自己所管理的普通用户创建的项目,管理员能看到所有项目。相关表为:项目表(包含责任人owner字段,owner所属组group字段)、用户表(包含组id)、组长信息表、管理员表。 2、方案设计 采用Mybatis拦截器,在请求查询sql后拼条件。 (1)如果当前用户为普通用户,查询项目时拼上条件owner=user; (2)如果当前用户为组长,查找当前user所管理的组list
巧用 MyBatis Plus 实现数据权限控制
m0_71777195的博客
08-18 668
平时开发中遇到根据当前用户的角色,只能查看数据权限范围的数据需求。列表实现方案有两种,一是在开发初期就做好判断赛选,但如果这个需求是中途加的,或不希望每个接口都加一遍,就可以方案二加拦截器的方式。在mybatis执行sql前修改语句,限定where范围。当然拦截器生效后是全局性的,如何保证只对需要的接口进行拦截和转化,就可以应用注解进行识别因此具体需要哪些步骤就明确了创建注解类创建拦截器实现InnerInterceptor接口,重写查询方法创建处理类,获取数据权限 SQL 片段,设置where。
通过mybatis插件实现简易数据权限
chuta9217的博客
08-24 3246
1.mybatis自定义插件 一说到mybatis插件,都会想到mybatis的分页插件。的确现在开发中用mybatis的话,一般都会用到它。它能在我们的sql语句后面添加分页查询条件,达到分页查询的效果。 ①配置 由于mybatis是基于xml插件配置的所以,我们要在xml中配置自...
使用mybatis实现数据权限
09-12
MyBatis 是一个 Java 持久层框架,通过它可以方便地实现数据权限控制实现数据权限的具体步骤如下: 1. 在数据库中建立相应的表,用于存储数据权限信息。 2. 编写 MyBatis 的映射文件,对数据权限表进行映射,并编写对应的 SQL 语句,用于从数据权限表中读取数据权限信息。 3. 在代码中使用 MyBatis 实现数据权限表的查询,并将查询到的数据权限信息与业务数据进行关联,从而实现数据权限控制。 在实现数据权限控制时,需要注意的是,数据权限的配置要尽可能的灵活,以适应不同的业务需求。同时,数据权限实现要保证安全性,避免数据泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值