修改若依的数据权限功能

已于 2022-02-11 15:53:10 修改
阅读量4.6k 收藏 12
点赞数 2
分类专栏: 自己总结 文章标签: spring 反射
于 2022-02-11 15:50:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a816120/article/details/122880975
版权

若依(cloud版本)的数据权限功能是通过注解实现的,在需要数据权限的方法上加上注解。

在注解中判断当前用户的角色对应的数据权限类型,在执行的sql语句后面拼接部门和用户的sql过滤条件从而实现数据权限功能。

数据权限的核心功能的代码如下:

如果当前用户有多个角色,那么多个角色之间不同的数据权限通过sql的or来连接。

最后在mybatis的xml中通过拼接sql语句实现。

这个功能没有问题,使用$来拼接sql也没有问题,因为数据权限中需要拼接的语句是写死的,而且若依也做了防注入的操作。

 但是我们的客户验收项目的时候会做代码扫描,这种通过$来拼接sql语句的情况是不允许出现的,哪怕这么写完全没有注入风险也不可以。

所以要找到另一种方法替换若依当前的数据权限功能。

网上翻了翻其他的成品框架,决定升级mybatis为myabtis-plus,使用mybatis-plus的内置拦截器来实现。数据权限的核心功能。

写一个自定义拦截器,实现myabtis-plus的内置拦截器InnerInterceptor ,就可以在sql语句执行前拦截到sql相关信息 ,在这里进行数据权限的操作。

先上拦截器的参考代码:

@Component
public class DataScopeInnerInterceptor implements InnerInterceptor {

    @Autowired
    private RedisService redisService;

    @Autowired
    private DataScopeService dataScopeService;//这个service的功能是使用feign调用auth模块中的代码,也就是下面代码的getUserDataScope方法。在登录的时候获得当前数据权限的角色id和部门id

    @Override
    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds,
                            ResultHandler resultHandler, BoundSql boundSql) {
        String originalSql = boundSql.getSql();
        PluginUtils.MPBoundSql mpBs = PluginUtils.mpBoundSql(boundSql);
        //带有datascope注解的mapper方法名
        Object cacheObject1 = redisService.getCacheObject(UserConstants.DATA_SCOPE_ANNO);
        String scopeMethod = String.valueOf(cacheObject1);
        //获得所执行sql语句的mapper方法全限定名
        String mapperMethod = ms.getId();
        mapperMethod = mapperMethod.substring(mapperMethod.lastIndexOf(".")+1);
        if (scopeMethod.contains(mapperMethod)) {
            //获得当前登录用户
            LoginUser loginUser = SecurityUtils.getLoginUser();
            if (null != loginUser){//项目启动和登录时没有用户
                SysUser sysUser = loginUser.getSysUser();
                Object cacheObject = redisService.getCacheObject(UserConstants.USER_DATA_SCOPE + sysUser.getUserId());
                //如果redis中没有存,就再调用方法存一次
                if (null == cacheObject) {
                    dataScopeService.getUserDataScope(loginUser);
                    cacheObject = redisService.getCacheObject(UserConstants.USER_DATA_SCOPE + sysUser.getUserId());
                }
                String scoprStr = String.valueOf(cacheObject);
                if ("#".equals(scoprStr)) {//查询全部数据
                    originalSql = String.format("SELECT * FROM (%s) temp_data_scope",
                            originalSql);
                }
                else {
                    String[] split = scoprStr.split("#");
                    if (scoprStr.length()>1 && scoprStr.startsWith("#")) {   //只有对当前用户的数据权限   
                        originalSql = String.format("SELECT * FROM (%s) temp_data_scope WHERE temp_data_scope.user_id = %s", originalSql,split[1]);
                    } else if (scoprStr.length()>1 && scoprStr.endsWith("#")) {     //只有对部门的数据权限(包括本部门,本部门及子部门和自定义)  
                        originalSql = String.format("SELECT * FROM (%s) temp_data_scope WHERE temp_data_scope.dept_id IN (%s)", originalSql,split[0]);
                    } else if (!scoprStr.startsWith("#") &&  !scoprStr.endsWith("#")) {    //既有部门的数据权限又有用户的数据权限
                        originalSql = String.format("SELECT * FROM (%s) temp_data_scope WHERE temp_data_scope.dept_id IN (%s) or temp_data_scope.user_id = (%s)",originalSql, split[0],split[1]);
                    }
                }
                mpBs.sql(originalSql);
            }
        }
    }
}

这个拦截器默认拦截所有的sql语句操作,可以看到,这个是通过把原有的sql语句作为子查询来实现数据权限的,如果这样实现有以下问题需要解决:

1,子查询中的字段不能是重复的字段名,比如用户表和部门表关联,那么用户的user_id和部门的user_id不能在一起,必须有一个要起别名。所以要修改原有的语句。

2,若依之前的注解是有参数的,参数可以指定数据权限是过滤部门id还是用户id,

@DataScope(deptAlias = "d", userAlias = "u")

比如如果数据权限是“只有当前用户”的时候,按照上面的代码是在子查询外面加WHERE temp_data_scope.user_id = %s,这样就要求语句中一定要有user_id这个字段,就需要userAllias这个参数,如果没有这个参数,如果只有deptAlias参数,数据权限是不过滤的。

我打算把若依的注解的参数去掉,所以要在需要数据权限的语句中添加用户id和部门id,如果没有就关联用户表和部门表然后加上id。

3,拦截器默认拦截所有sql操作,所以要在在过滤器中找到哪些方法是加了若依之前的数据权限注解的,修改后的数据权限也是需要对加了注解的方法才进行过滤。

解决方法如下:在项目启动的时候扫描所有加注解的方法名,并redis缓存

参考代码:

@Component
public class PackageUtil {

    @Autowired
    RedisService redisService;

    @PostConstruct
    public void doTheJob(){
        getDatascopeAnnotationMethodName("com.tbenefitofcloud.system");
    }

    private void getDatascopeAnnotationMethodName(String packageName) {
        Set<Class<?>> classSet = getClassSet(packageName);
        List<String> anno = new ArrayList<>();
        for (Class<?> clazz : classSet) {
            Method[] declaredMethods = clazz.getDeclaredMethods();
            for (Method declaredMethod : declaredMethods) {
                String isNotNullStr = "";
                // 判断是否方法上存在注解  MethodInterface
                boolean annotationPresent = declaredMethod.isAnnotationPresent(DataScope.class);
                if (annotationPresent) {
                    // 获取自定义注解对象
                    DataScope methodAnno = declaredMethod.getAnnotation(DataScope.class);
                    // 根据对象获取注解值
                    anno.add(declaredMethod.getName());
                }
            }
        }
        System.out.println(anno);
        String join = StringUtils.join(anno.toArray(), ",");
        redisService.setCacheObject(UserConstants.DATA_SCOPE_ANNO,join);
    }

    /**
     * 获取类加载器
     */
    public ClassLoader getClassLoader() {
        return Thread.currentThread().getContextClassLoader();
    }

    /**
     * 加载类
     */
    public Class<?> loadClass(String className, boolean isInitialized) {
        Class<?> cls;
        try {
            cls = Class.forName(className, isInitialized, getClassLoader());
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        }
        return cls;
    }

    /**
     * 获取指定包名下的所有类
     */
    public Set<Class<?>> getClassSet(String packageName) {
        Set<Class<?>> classSet = new HashSet<Class<?>>();
        try {
            Enumeration<URL> urls = getClassLoader().getResources(packageName.replace(".", "/"));
            while (urls.hasMoreElements()) {
                URL url = urls.nextElement();
                if (url != null) {
                    String protocol = url.getProtocol();
                    if (protocol.equals("file")) {
                        String packagePath = url.getPath().replaceAll("%20", " ");
                        addClass(classSet, packagePath, packageName);
                    } else if (protocol.equals("jar")) {
                        JarURLConnection jarURLConnection = (JarURLConnection) url.openConnection();
                        if (jarURLConnection != null) {
                            JarFile jarFile = jarURLConnection.getJarFile();
                            if (jarFile != null) {
                                Enumeration<JarEntry> jarEntries = jarFile.entries();
                                while (jarEntries.hasMoreElements()) {
                                    JarEntry jarEntry = jarEntries.nextElement();
                                    String jarEntryName = jarEntry.getName();
                                    if (jarEntryName.endsWith(".class")) {
                                        String className = jarEntryName.substring(0, jarEntryName.lastIndexOf(".")).replaceAll("/", ".");
                                        doAddClass(classSet, className);
                                    }
                                }
                            }
                        }
                    }
                }
            }
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
        return classSet;
    }

    private void addClass(Set<Class<?>> classSet, String packagePath, String packageName) {
        File[] files = new File(packagePath).listFiles(new FileFilter() {
            public boolean accept(File file) {
                return (file.isFile() && file.getName().endsWith(".class")) || file.isDirectory();
            }
        });
        for (File file : files) {
            String fileName = file.getName();
            if (file.isFile()) {
                String className = fileName.substring(0, fileName.lastIndexOf("."));
                if (StringUtil.isNotEmpty(packageName)) {
                    className = packageName + "." + className;
                }
                doAddClass(classSet, className);
            } else {
                String subPackagePath = fileName;
                if (StringUtil.isNotEmpty(packagePath)) {
                    subPackagePath = packagePath + "/" + subPackagePath;
                }
                String subPackageName = fileName;
                if (StringUtil.isNotEmpty(packageName)) {
                    subPackageName = packageName + "." + subPackageName;
                }
                addClass(classSet, subPackagePath, subPackageName);
            }
        }
    }

    private void doAddClass(Set<Class<?>> classSet, String className) {
        Class<?> cls = loadClass(className, false);
        classSet.add(cls);
    }
}

在登录的时候查找出当前用户对应角色所需的用户id和部门id,并缓存

参考代码:

public void getUserDataScope(LoginUser userInfo) {
        SysUser sysUser = userInfo.getSysUser();
        List<SysRole> roles = sysUser.getRoles();
        //该用户对应部门id
        List<Long> deptIdsByRoleId = new ArrayList<>();
        String scopeType = "";
        String userId = "";//用户id,数据权限为仅本人数据权限时使用
        for (SysRole role : roles) {
            scopeType = role.getDataScope();
            if ("2".equals(scopeType)){     //自定数据权限,从sys_role_dept表中查询
                List<Long> scopeDeptIds = remoteScopeService.getDeptIdsByRoleId(role.getRoleId());
                deptIdsByRoleId.addAll(scopeDeptIds);
            }else if ("3".equals(scopeType)){       //部门数据权限
                //当前角色对应部门id
                deptIdsByRoleId.add(sysUser.getDeptId());
            }else if ("4".equals(scopeType)){       //部门及下属部门
                List<Long> deptAndChild = remoteScopeService.findDeptAndChild(sysUser.getDeptId());
                deptIdsByRoleId.addAll(deptAndChild);
            }else if ("5".equals(scopeType)){//仅本人数据权限
                userId = sysUser.getUserId().toString();
            }
        }
        Set<Long> scopeDepts = new HashSet<>(deptIdsByRoleId);
        String join = StringUtils.join(scopeDepts.toArray(), ",");
        System.out.println(join);
        redisService.setCacheObject(UserConstants.USER_DATA_SCOPE+sysUser.getUserId(),join+"#"+userId);
    }

a816120
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
若依vue完美整合mybatisplus
03-04
若依vue完美整合mybatisplus,根据若依官网前后端分离版框架修改,完美整合mybatisplus,便于开发企业管理系统。
RuoYi升级Mybaits-plus后数据权限不生效处理办法
sx40623746的博客
04-20 1758
RuoYi整合Mybaits-plus-join后数据权限无法使用问题
若依自建页面的按钮无操作权限
最新发布
RYA1999的博客
05-16 371
问题描述:非admin用户登录后,若依原有模块都有权限,但是自己写的页面按钮没有权限,尤其是修改按钮。查了很多方法大家都在说只要controller、菜单权限字符保持一致就没问题,或者清除redis缓存就能解决,但是我尝试后依然不奏效,每个模块下都要配置查询权限字符,不然修改按钮或其他相关按钮就没有权限。他并不是一个显示在页面中的按钮,所以我们在自建菜单时很容易忽略对他的配置。最后发现是因为没有在菜单中配置查询的权限
基于Mybatis-Plus的数据权限框架
chenahong0201的博客
12-13 2301
近期开发使用的框架基本上都是springboot + Mybatis-plus 方便,快速。而且差不多都是单表查询,很少使用关联表。经常会遇到需要做数据权限过滤的查询,每次都要写SQL,然后使用in的方式。非常麻烦。所以研究了一下Mybatis-plus的进阶使用。可以通过自定义SQL解析器,自定义SQL内容。使用该方式 + 切面 的方式,实现自动添加数据权限的过滤方式。注:我自己的工程的权限框架为shiro,可以通过修改,配置适配自己框架如果有额外的自定义SQL,则可以添加。/**
解决RuoYiPro的mybatisPuls中由于数据权限问题自动在sql后拼接 “and null” 的问题
weixin_42080900的博客
12-06 627
解决RuoYiPro自动在sql后拼接and null 的问题并分析mybatis-plus拦截器的源码
若依开源框架中数据权限的使用及配置
乘风偷月的博客
06-25 2万+
对于数据隔离问题,也就是不同角色的用户拥有的数据权限问题,虽然文档也有描述,也有一个现成的例子,但是没有结果业务功能,看得有点不太好理解,我这里直接举例业务功能的例子,帮助朋友们根据自己业务去做调整,完成数据权限的使用,能够满足业主的需求...
修改若依(ruoyi)框架各种包名修改器,一键解决所有修改包名的问题~
03-16
若依(RuoYi)框架是一款广泛应用于企业级后台管理系统的开源Java框架,它提供了丰富的功能组件,如权限管理、工作流、报表等,帮助开发者快速构建企业级应用。在开发过程中,为了满足不同项目的需求,有时我们需要...
若依(基于SpringBoot的权限管理系统).rar
12-11
SpringBoot的基础上,若依权限管理系统充分利用了Spring全家桶的优势,例如Spring Security进行权限控制,Spring Data JPA进行数据访问,以及Thymeleaf作为模板引擎进行前端展示。下面我们将深入探讨这些关键技术...
IC卡数据修改V1.9.rar
06-15
结合标签“IC卡读写 IC卡数据修改”,我们可以推断这个工具不仅能够修改数据,还可能包含了读取IC卡数据功能。读取功能对于诊断问题、备份数据或者分析卡片结构来说是必要的。 然而,值得注意的是,擅自修改IC卡...
若依框架修改器V3-20210706.zip
09-29
1. **模块化设计**:若依框架采用模块化设计,将不同的功能划分为独立的模块,如权限管理、内容管理、系统设置等,便于代码维护和扩展。 2. **基于Spring Boot**:若依框架构建在Spring Boot之上,利用其强大的依赖...
RuoYi若依管理系统-其他
06-11
RuoYi若依管理系统功能:1、用户管理:用户是系统操作者,该功能主要完成系统用户配置。2、部门管理:配置系统组织机构(公司、部门、小组),树结构展现支持权限。3、岗位管理:配置系统用户所属担任职务。4、菜单...
若依集成mybatis-plus
qq_38258824的博客
03-19 1893
RuoYi 是一个 Java EE 企业级快速开发平台,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。在线定时任务配置;支持集群,支持多数据源,支持分布式事务。MyBatis-Plus(简称 MP)是一个 MyBatis的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。
若依配置教程(五)数据权限的使用及配置
qq_46073825的博客
01-31 1万+
若依数据权限的使用和配置
使用MyBatis-Plus 及 注解 做数据权限
qq_41789605的博客
11-20 686
主要参考了若依数据权限处理,但是考虑到使用了MyBatis-plus,就试着结合了一下子。下面是具体代码。
基于Mybatis-Plus实现数据权限
搬砖爱好者.的博客
02-11 4209
数据权限是指对系统用户进行数据资源可见性的控制。实现不同角色登录系统所展示的操作数据范围不一样,达到角色与角色、用户与用户之间数据的隔离。
若依权限控制该怎么做(超详细的图文教程)
热门推荐
Keep__Me的博客
09-04 2万+
若依权限控制
若依前后端分离版本集成Mybatis-plus
m0_47348817的博客
03-05 1万+
若依前后端分离版本集成Mybatis-plus一、为什么要集成Mybatis-plus简介特性二、集成Mybatis-plus导入依赖修改application.yml 配置文件修改service、serviceImpl、mapper三、若依框架需要注意的地方注释MyBatisConfig取消实体类继承若依封装的BaseEntity总结 一、为什么要集成Mybatis-plus 简介 MyBatis-Plus (opens new window)(简称 MP)是一个 MyBatis (opens new w
MyBatisPlus又在搞事了!一个依赖轻松搞定权限问题!堪称神器
KRYST4L123的博客
02-25 720
今天介绍一个 MyBatis - Plus 官方发布的神器:mybatis-mate 为 mp 企业级模块,支持分库分表,数据审计、数据敏感词过滤(AC算法),字段加密,字典回写(数据绑定),数据权限,表结构自动生成 SQL 维护等,旨在更敏捷优雅处理数据。支持 Lambda 形式调用:通过 Lambda 表达式,方便地编写各类查询条件,无需再担心字段写错支持主件自动生成:支持多达 4 主键策略(内含分布式唯一 ID 生成器 ­ Sequence),可自由配置,完美解决主键问题。
【RuoYi-Vue-Plus】学习笔记 09 - 数据权限调用流程分析(参照 Mybatis Plus 数据权限插件)
MichelleChung的星球
01-12 7493
本文主要分析了框架数据权限实现以及调用的流程。
web完成表中数据修改功能感悟
05-23
完成表中数据修改功能需要考虑很多细节,包括数据校验、用户权限控制、UI设计等方面。在实际开发中,我经常会遇到一些意想不到的问题,比如数据格式转换错误、缺少必要的数据字段、用户输入不合法等等。这时候就需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值