mybatis拦截器实现数据库数据权限隔离

最新推荐文章于 2024-05-25 12:30:12 发布
最新推荐文章于 2024-05-25 12:30:12 发布
阅读量1.5k 收藏 9
点赞数
分类专栏: 积累
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z17839192969/article/details/117744122
版权

mybatis拦截器实现数据库数据权限隔离

原理:使用拦截器在mybatis 执行sql 之前 , 将sql 后面加上指定的查询条件 , 比如,你的表以user_id 作为区分 ,那么你就需要在sql 拦截器中加上 user_id = #{userId} 的逻辑。
实现 : mybatis 拦截器的相关知识不再赘述 , 可以在mybatis 的四个阶段进行拦截 , 分别是 Execute , MappedStatment , ParamHanlder ,以及 ResultHandler , 详细的每个阶段做什么事情 ,可以自行百度。

 @AuthFilter(userFiled = "user_id" , ignoreOrgFiled = true)
    Page getUserMsgPage(@Param("page")Page page , @Param("param") MsgUserRefDto param , @Param("loginId") String loginId , @Param("orderBy")String orderBy);

具体效果就是 , 我们希望上面的sql 在执行的时候 ,自动拼接上 and user_id = 1 ,去过滤指定用户的数据。

配置文件

@Configuration
@AutoConfigureAfter(PageHelperAutoConfiguration.class)
public class MybatisConfig {

    @Autowired
    private List<SqlSessionFactory> sqlSessionFactoryList;

    @PostConstruct
    void mybatisConfigurationCustomizer() {

        AuthInterceptor authInterceptor = new AuthInterceptor();
        sqlSessionFactoryList.forEach(o->{
            o.getConfiguration().addInterceptor(authInterceptor);
        });
    }
}

自定义注解

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD , ElementType.TYPE})
@Documented
public @interface AuthFilter {

    String userFiled() default "userId";

    String orgFiled() default "orgId";

    boolean ignoreUserFiled() default false;

    boolean ignoreOrgFiled() default false;
}

具体拦截器逻辑, 其中,GlobalHolder 就是每个系统中自己存储用户登录信息的容器 。

@Slf4j
@Component
@Intercepts({@Signature(
        type = Executor.class,
        method = "query",
        args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}
), @Signature(
        type = Executor.class,
        method = "query",
        args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class}
)})
public class AuthInterceptor implements Interceptor {

   private static final Map<Class<?>, Map<String, List<List<Class>>>> mapperCache = new ConcurrentHashMap();


    @Override
    public Object intercept(Invocation invocation) throws Throwable {

        Object[] args = invocation.getArgs();
        String id = ((MappedStatement)args[0]).getId();
        String clazzName = id.substring(0, id.lastIndexOf('.'));
        String mapperMethod = id.substring(id.lastIndexOf('.') + 1);

        Object[] paramArr = getParamArr(args[1]);
        Class<?> clazz = Class.forName(clazzName);

        Method method = getMethod(clazz, mapperMethod, paramArr);
        AuthFilter authFilter = method.getAnnotation(AuthFilter.class);


        // 如果方法没有加上注解正常执行 ,否则开始解析
        if (authFilter != null) {

            Map params = new HashMap();
            // 获取各个filed
            String orgFiled = authFilter.orgFiled();
            String userFiled = authFilter.userFiled();
            // 获取用户登录id 和 组织Id
            String orgId = GlobalHolder.getOrgId();
            String loginId = GlobalHolder.getLoginId();

            boolean ignoreOrgFiled = authFilter.ignoreOrgFiled();
            boolean ignoreUserFiled = authFilter.ignoreUserFiled();

            MappedStatement ms = (MappedStatement)args[0];
            Object parameter = args[1];
            BoundSql boundSql;
            if (args.length == 4) {
                boundSql = ms.getBoundSql(parameter);
            } else {
                boundSql = (BoundSql)args[5];
            }

            String sql = boundSql.getSql();

            // 添加组织编号
            if (!ignoreOrgFiled) {

                if(StringUtils.isNotEmpty(orgId)){
                    params.put(orgFiled , orgId);
                }else {
                    throw new IllegalStateException("用户未登录!");
                }

            }

            if (!ignoreUserFiled) {

                if(StringUtils.isNotEmpty(loginId)){
                    params.put(userFiled , loginId);
                }else {
                    throw new IllegalStateException("用户未登录!");
                }
            }

            if(params.size() > 0){
               String concatSql = contactConditions(wrapSql(sql) , params);
                log.info("添加后的sql为: {}" , concatSql);
                ReflectUtil.setFieldValue(boundSql, "sql", concatSql);
            }
        }
        return invocation.proceed();
    }


    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);

    }

    @Override
    public void setProperties(Properties properties) {
    }

    private String wrapSql(String sql){

        if(StringUtils.isNotEmpty(sql)){

            StringBuilder realSql = new StringBuilder();
            realSql.append("select * from ( ");
            realSql.append(sql);
            realSql.append(") a");

            return realSql.toString();
        }
        return sql;
    }

    /** 获取 mapper 相应 Method 反射类 */
    private Method getMethod(Class<?> clazz, String mapperMethod, Object[] paramArr) throws NoSuchMethodException, NoSuchFieldException, IllegalAccessException {
        // 1、查 mapper 接口缓存
        if (!mapperCache.containsKey(clazz)) // mapper 没有缓存, 就进行缓存
        {
            cacheMapper(clazz);
        }
        // 2、返回相应 method
        A:
        for (List<Class> paramList : mapperCache.get(clazz).get(mapperMethod)) {
            if (!paramList.isEmpty()) {
                for (int i = 0; i < paramArr.length; i++) { // 比较参数列表class
                    if (paramArr[i] != null)
                        if (!compareClass(paramList.get(i), paramArr[i].getClass())) continue A;
                }
                return clazz.getMethod(mapperMethod, paramList.toArray(new Class[paramList.size()]));
            }
        }
        return clazz.getMethod(mapperMethod); // 返回无参方法
    }

        /** 对 mapper 方法字段进行缓存 */
        private void cacheMapper(Class<?> clazz) {
            Map<String, List<List<Class>>> methodMap = new HashMap();
            for(Method method : clazz.getMethods()) {
                List<List<Class>> paramLists = methodMap.containsKey(method.getName()) ?
                        methodMap.get(method.getName()) : new ArrayList<List<Class>>();
                List<Class> paramClass = new ArrayList<Class>();
                for (Type type : method.getParameterTypes())
                {
                    paramClass.add((Class) type);
                }
                paramLists.add(paramClass);
                methodMap.put(method.getName(), paramLists);
            }
            mapperCache.put(clazz, methodMap);
        }

        /** class 比较 */
        private boolean compareClass(Class<?> returnType, Class<?> paramType) throws NoSuchFieldException, IllegalAccessException {
            if(returnType == paramType) {
                return true;
            }
            else if(returnType.isAssignableFrom(paramType)) { // 判断 paramType 是否为 returnType 子类或者实现类
                return true;
            }
            // 基本数据类型判断
            else if(returnType.isPrimitive()) { // paramType为包装类
                return returnType == paramType.getField("TYPE").get(null);
            }
            else if(paramType.isPrimitive()) { // returnType为包装类
                return paramType == returnType.getField("TYPE").get(null);
            }
            return false;
        }

    /**
     * 获取 mybatis 中 mapper 接口的参数列表的参数值
     * @param parameter
     * @return
     */
    private Object[] getParamArr(Object parameter) {
        Object[] paramArr = null;
        // mapper 接口中使用的是 paramMap, 传多个参数
        if(parameter instanceof MapperMethod.ParamMap)
        {
            Map map = ((Map) parameter);
            if(!map.isEmpty()) {
                StringBuilder builder = new StringBuilder();
                // 初始化 param_arr
                int size = map.size() >> 1;
                paramArr = new Object[size];
                for(int i = 1;i <= size;i ++)
                {
                    // mapper 接口中使用 param0 ~ paramN 命名参数
                    paramArr[i - 1] = map.get(builder.append("param").append(i).toString());
                    builder.setLength(0);
                }
            }
        }
        else if(parameter != null)
        {
            paramArr = new Object[1];
            paramArr[0] = parameter;
        }
        return paramArr;
    }


    private static String contactConditions(String sql, Map<String, Object> columnMap) {
        SQLStatementParser parser = SQLParserUtils.createSQLStatementParser(sql, JdbcUtils.MYSQL);
        List<SQLStatement> stmtList = parser.parseStatementList();
        SQLStatement stmt = stmtList.get(0);
        if (stmt instanceof SQLSelectStatement) {
            StringBuffer constraintsBuffer = new StringBuffer();
            Set<String> keys = columnMap.keySet();
            Iterator<String> keyIter = keys.iterator();
            if (keyIter.hasNext()) {
                String key = keyIter.next();
                constraintsBuffer.append(key).append(" = " + getSqlByClass(columnMap.get(key)));
            }
            while (keyIter.hasNext()) {
                String key = keyIter.next();
                constraintsBuffer.append(" AND ").append(key).append(" = " + getSqlByClass(columnMap.get(key)));
            }
            SQLExprParser constraintsParser = SQLParserUtils.createExprParser(constraintsBuffer.toString(), JdbcUtils.MYSQL);
            SQLExpr constraintsExpr = constraintsParser.expr();

            SQLSelectStatement selectStmt = (SQLSelectStatement) stmt;
            // 拿到SQLSelect
            SQLSelect sqlselect = selectStmt.getSelect();
            SQLSelectQueryBlock query = (SQLSelectQueryBlock) sqlselect.getQuery();
            SQLExpr whereExpr = query.getWhere();
            // 修改where表达式
            if (whereExpr == null) {
                query.setWhere(constraintsExpr);
            } else {
                SQLBinaryOpExpr newWhereExpr = new SQLBinaryOpExpr(whereExpr, SQLBinaryOperator.BooleanAnd, constraintsExpr);
                query.setWhere(newWhereExpr);
            }
            sqlselect.setQuery(query);
            return sqlselect.toString();

        }

        return sql;
    }

    private static String getSqlByClass(Object value){

        if(value instanceof Number){
            return value + "";
        }else if(value instanceof String){
            return "'" + value + "'";
        }

        return "'" + value.toString() + "'";
    }

}
不要停下脚步
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于mybatis-plus实现多租户级别的数据隔离
04-07
3. **拦截器实现**:在Mybatis-Plus中,我们可以创建一个自定义拦截器,注入租户ID到SQL语句中。当执行查询、插入、更新或删除操作时,拦截器会自动添加租户条件。 4. **实体类扩展**:在实体类中增加一个表示租户...
MybatisPlus实现数据权限隔离
cz285933169的专栏
04-10 1073
引言 Mybatis Plus对Mybatis了无侵入的增强,非常的好用,今天就给大家介绍它的其中一个实用功能:数据权限插件。 数据权限插件的应用场景和多租户的动态拦截拼接SQL一样。
2021-11-14学习记录浅析SQLSessionFactory初始化&错题记录
weixin_48680790的博客
11-14 468
1.浅析SQLSessionFactory初始化 从官方教程里的示例代码开始: String resource = "mybatis-config.xml"; InputStream inputStream = null; try{ inputStream= Resources.getResourceAsStream(resource);} catch (IOException e)
通过MyBatis拦截器实现数据权限控制
最新发布
bzqwell的博客
05-25 656
笔者这里是因为依赖的jar中自定义创建了SqlSessionFactory,创建SqlSessionFactory的代码中没有设置拦截器。如果项目使用的自定义的SqlSessionFactory,需要创建的时候把拦截器添加进去。可参考这篇文章:springboot配置多数据源后mybatis拦截器失效如果恰好读者的SqlSessionFactory也是在jar中创建的,或者不能直接修改,则需要另一种方式。
sqlsessionfactory和sqlsession
学Java,找哪吒
06-18 4989
一、前言 学习框架一个比较好的路径阅读源码.本文介绍的SqlSessionFactory和SqlSession.可以通过了解SqlSessionFactory接口和SqlSession接口以及两个的实现类入手,去看源码了解实现过程.最好能把项目下载到本地,慢慢分析实现过程. Myabtis官网:http://www.mybatis.org/ github地址:https://github.com/mybatis/mybatis-3 ...
# Mybatis 常用对象SqlSessionFactory、SqlSession
不积跬步,无以至千里;不积小流,无以成江海
11-20 2309
Mybatis 常用对象SqlSessionFactory、SqlSession了解和学习 Mybatis 依赖包 <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>x.x.x</version> </dependency> Mybatis自动装配步骤 加载配置文
MyBatis拦截器 Interceptor 实现数据源切换
qq_34922830的博客
10-20 3105
http://AbstractRoutingDataSource详解数据源配置与切换// 主库-读数据源master,// 主库-写数据源slave,// 多数据源readmore}/*** 数据源路由器*/// 也可以指定 ThreadLocal 的 initialValue 的具体实现}/***将targetDataSources映射中指定的给定查找键对象解析为用于与当前查找键匹配的实际查找键。
Mybatis使用拦截器添加参数
qq_42068856的博客
08-18 8663
Mybatis拦截器mybatis提供的一套接口,用于拦截mabatis访问数据库时的行为,并允许我们在拦截中,添加自己需要的自定义操作。
mybatis数据权限控制插件
11-04
3. **拦截器实现**:插件可能使用 AOP(面向切面编程)中的拦截器技术,在 SQL 执行前进行拦截,插入必要的权限检查代码。 4. **灵活性**:一个好的数据权限控制插件应具有足够的灵活性,能够适应多种数据库模型和...
详解基于Mybatis-plus多租户实现方案
08-19
Mybatis-plus的分页插件会自动在SQL查询语句中插入租户ID条件,以此实现数据隔离。这通常涉及到SQL动态生成,即在生成SQL时根据租户ID添加相应的WHERE条件。 4. **注意事项** - 在使用多租户时,必须确保租户ID的...
mybatis-plus-multi-tenancy_springboot多租户实现例子.zip
01-12
6. **SQL动态解析**:MyBatis Plus可以通过自定义拦截器或者插件,实现在执行SQL时动态地加入租户标识,确保每个租户只能访问到自己的数据。这可能涉及到SQL的动态生成或预编译。 7. **数据权限控制**:在多租户...
springMVC mybatis 学习代码
04-17
- SpringMVC支持自定义拦截器,可以实现权限验证、日志记录等功能。拦截器链可以在DispatcherServlet配置中定义,按照顺序执行。 7. **异常处理** - SpringMVC提供了@ControllerAdvice和@ExceptionHandler注解,...
spring mvc Mybatis开发框架模板
07-27
5. **拦截器**:Spring MVC的Interceptor接口允许开发者定义预处理和后处理逻辑,可以用来实现权限控制、日志记录等功能。 **MyBatis详解** 1. **动态SQL**:MyBatis的强项在于它的动态SQL,可以在XML或注解中编写...
springboot整合mybatis集成分页查询事务配置,页面模板
09-20
- 拦截器MyBatis-SpringBoot中可以用来实现一些通用功能,比如日志记录、权限验证等。需要定义一个实现了`Interceptor`接口的类,并在`mybatis-config.xml`中配置。 - 在SpringBoot中,拦截器可以与Spring MVC的...
Spring+SpringMvc+MybatisPlus+Aop(自定义注解)动态切换数据
12-25
在这个项目中,我们利用自定义的Aop注解来实现数据源的动态切换。自定义注解可以附加在方法上,当该方法被调用时,AOP会捕获这个调用并执行相应的逻辑,即切换到指定的数据源。 具体实现步骤如下: 1. 定义数据源...
2018mybaits_plugin
04-13
6. **数据权限控制**:内置了数据权限控制功能,可以轻松实现不同角色的数据隔离。 7. **乐观锁**:支持基于版本号或更新时间戳的乐观锁策略,防止并发更新导致的数据冲突。 8. **多数据源**:MP提供了一定程度的...
Springboot 自定义mybatis 拦截器实现我们要的扩展
默默不代表沉默
12-31 9853
前言 相信大家对拦截器并不陌生,对mybatis也不陌生。 有用过pagehelper的,那么对mybatis拦截器也不陌生了,按照使用的规则触发sql拦截,帮我们自动添加分页参数 。 那么今天,我们的实践 自定义mybatis拦截器也是如此, 本篇文章实践的效果:针对一些使用 单个实体类去接收返回结果的 mapper方法,我们拦截检测,如果没写 LIMIT 1 ,我们将自动帮忙填充,达到查找单条数据 效率优化的效果。 ps: 当然,跟着该篇学会了这个之后,那么可以扩展的东西就多了,大家按照
mybatis拦截器 多租户隔离数据权限隔离 动态可扩展
weixin_41423378的博客
08-26 1697
mybatis拦截器 多租户隔离数据权限隔离 动态可扩展
快速拦截器处理自定义Mybatis注解
qq_28033719的博客
09-02 1642
上级文章: 快速Mybatis拦截器 - Inteceptor:https://blog.csdn.net/qq_28033719/article/details/107939959 因为已经有了一个 Mybatis 拦截器的 Demo ,现在需要自定义一个 Mybatis 的注解,然后使用拦截器自定义注解进行拦截处理。 变动的类: 需求 因为需要对一些数据源进行拦截处理,所以现在为减少代码侵入,使用注解对 Mybatis 的接口进行单独的拦截是最好的,毕竟 Mybatis 的接口是对应数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值