从零搭建开发脚手架 基于Mybatis-Plus的数据权限实现

最新推荐文章于 2024-08-13 09:58:53 发布
最新推荐文章于 2024-08-13 09:58:53 发布
阅读量7.2k 收藏 55
点赞数 8
分类专栏: 《🌹从零搭建开发脚手架》 文章标签: mybatis mybatis-plus spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abu935009066/article/details/115481149
版权

文章目录


权限管理是我们日常开发中很重要的一个点, 功能权限的实现大部分比较重而且业界也比较统一了,我这边就不详细介绍了,分享下一个基于Mybatis-plus实现的一套 数据权限方案。

权限分类

  • 功能权限:能看到什么功能模块,能操作什么功能,增删改查实体等。(常见
  • 数据权限:能看到哪些数据,例如管理员能看到所有人的数据,普通员工只能看到自己的数据,领导能看到本部门的数据。(常见
  • 字段权限:能看到哪些字段,例如普通员工看不到自己剩余的请假天数,领导和管理员可以。(不常见

功能权限:管理类系统常用的权限控制方式基于角色为基础设计(RBAC,Role-Based Access Control),主要由用户,角色,权限(资源)三个实体;用户角色关系,角色权限关系两个中间关联控制,有很多轮子,基本都是基于Spring Security 、Shiro或自定义AOP实现的,我这里仅介绍常用的数据权限的实现。

数据权限:我看了下目前的主流实现有2中方式:

  • 方案1.基于AOP+自定义注解,在service层进行拦截处理

  • 方案2.基于mybatis拦截器+自定义注解,在mapper层处理

    我这里的持久层框架选型为:mybatis-plus

针对这2种实现方式,其内部原理都是在原始sql上拼接 create_by= xxx And create_dept_id in xxx ,然后替换待执行的原始sql。

我个人更偏向于第二种方案,因为就像分页插件一样,数据权限过滤本来就是针对某一个sql进行过滤,这是在持久层应该做的事情。后面的实现逻辑也都是参照分页插件,利用mybatis拦截器的插件机制实现。

数据权限实现

MyBatis的拦截器简介

在Mybatis框架中,已经给我们提供了拦截器接口org.apache.ibatis.plugin.Interceptor,防止我们改动源码来添加行为实现拦截。说到拦截器,不得不提一下,拦截器是通过动态代理对Mybatis加入一些自己的行为。

Interceptor接口中包含3个方法如下:

public interface Interceptor {
  Object intercept(Invocation invocation) throws Throwable;
  default Object plugin(Object target) {
    return Plugin.wrap(target, this);
  }
  default void setProperties(Properties properties) {
    // NOP
  }
}
  • intercepter方法是拦截的核心方法,方法参数invocation可以对拦截对象进行修改。
  • plugin方法用于生成被拦截的对象的代理,方法参数target是原始对象。
  • setProperties方法用于获取配置intercepter时的参数。

MyBatis插件的实现必须继承Interceptor接口并实现其中的intercept拦截方法,除此之外,拦截器还需要定义拦截的对象以及方法,如下所示。

img

  • @Intercepts定义它是个拦截器
  • @Signature标注拦截的对象(type属性),方法名(method属性)及方法参数(args属性)。
    • type属性可以是MyBatis执行过程的四种对象。
    • method用于标注对象中的某个具体方法。
    • args是方法的参数类型。

MyBatis执行过程的四种对象

type类型作用
Executor调度执行StatementHandler、ParmmeterHandler、ResultHandler执行相应的SQL语句
StatementHandler执行SQL的过程,作为最常用的插件拦截对象
ParameterHandler设置预编译参数用的
ResultHandler处理结果集

对数据权限的拦截实际也是对执行的SQL进行修改,所以拦截的方法签名可等同于分页拦截器。此处需注意分页拦截器需要在数据权限拦截器之后执行。

具体实现

本来准备完全参照分页插件PaginationInnerInterceptor.java性能分析插件PerformanceInterceptor.java去实现的,但在阅读源码时发现了一个插件DataPermissionInterceptor.java,有趣的是在官网并没有发现对其的任何介绍,从注释来看,其实现的功能就是数据权限过滤。后面就直接使用它来实现了。

数据库设计

在需要进行权限过滤的表,新增2个字段create_by(该记录由谁创建),create_dept_id(该记录由哪个部门创建)。

暂不考虑人员换部门或者假定人员换部门但是数据归属还是之前的部门

权限类型设计

  • 查看全部数据 - where 1=1
  • 查看本人所在组织机构数据 - where create_dept_id = userDeptId
  • 查看本人数据 - where create_by = userId and create_dept_id = userDeptId
  • 查看自定义组织机构数据 - where create_dept_id in (deptIds)
  • 查看自定义sql过滤 - where 1=1 and 自定义过滤sql
@Getter
@AllArgsConstructor
public enum DataFilterTypeEnum {
    ALL(1, "全部"),
    DEPT(2, "本人所在组织机构"),
    SELF(3, "本人"),
    DEPT_SETS(4, "自定义组织机构"),
    DIY(5, "自定义sql过滤");
    int type;
    String desc;
}

拦截器实现

DataPermissionInterceptor.java中留了个扩展的口子DataPermissionHandler.java,我们只需要实现DataPermissionHandler接口,并按照业务规则处理SQL,就可以实现数据权限的功能。

其中用到了JSqlParser,JSqlParser是一个SQL语句解析器,它将SQL转换为Java类的可遍历层次结构。mybatis-plus中也引入了JSqlParser包。

@Slf4j
public class LakerDataPermissionHandler implements DataPermissionHandler {

    /**
     * @param where             原SQL Where 条件表达式
     * @param mappedStatementId Mapper接口方法ID
     * @return
     */
    @SneakyThrows
    @Override
    public Expression getSqlSegment(Expression where, String mappedStatementId) {

        // 1. 获取权限过滤相关信息
        DataFilterMetaData dataFilterMetaData = DataFilterThreadLocal.get();
        try {
            log.debug("开始进行权限过滤,dataFilterMetaData:{} , where: {},mappedStatementId: {}", dataFilterMetaData, where, mappedStatementId);
            if (dataFilterMetaData == null) {
                return where;
            }
            Expression expression = new HexValue(" 1 = 1 ");
            if (where == null) {
                where = expression;
            }
            switch (dataFilterMetaData.filterType) {
                // 查看全部
                case ALL:
                    return where;
                // 查看本人所在组织机构以及下属机构
                case DEPT_SETS:
                    // 创建IN 表达式
                    // 创建IN范围的元素集合
                    Set<Long> deptIds = dataFilterMetaData.getDeptIds();
                    // 把集合转变为JSQLParser需要的元素列表
                    ItemsList itemsList = new ExpressionList(deptIds.stream().map(LongValue::new).collect(Collectors.toList()));
                    InExpression inExpression = new InExpression(new Column("create_dept_id"), itemsList);
                    return new AndExpression(where, inExpression);
                // 查看当前部门的数据
                case DEPT:
                    //  = 表达式
                    // dept_id = deptId
                    EqualsTo equalsTo = new EqualsTo();
                    equalsTo.setLeftExpression(new Column("create_dept_id"));
                    equalsTo.setRightExpression(new LongValue(dataFilterMetaData.getDeptId()));
                    // 创建 AND 表达式 拼接Where 和 = 表达式
                    // WHERE xxx AND dept_id = 3
                    return new AndExpression(where, equalsTo);
                // 查看自己的数据
                case SELF:
                    // create_by = userId
                    EqualsTo selfEqualsTo = new EqualsTo();
                    selfEqualsTo.setLeftExpression(new Column("create_by"));
                    selfEqualsTo.setRightExpression(new LongValue(dataFilterMetaData.getUserId()));
                    return new AndExpression(where, selfEqualsTo);
                case DIY:
                    return new AndExpression(where, new StringValue(dataFilterMetaData.getSql()));
                default:
                    break;
            }
        } catch (Exception e) {
            log.error("LakerDataPermissionHandler.err", e);
        } finally {
            DataFilterThreadLocal.clear();
        }
        return where;
    }
}
参数传递

我们这里肯定要配合用户权限去做过滤的,但是方法参数中没办法传递参数,这里我们借助ThreadLocal去实现,注意使用完毕后要调用clear

@Slf4j
public class DataFilterThreadLocal {
    private static final ThreadLocal<DataFilterMetaData> ThreadLocalDataFilter = new ThreadLocal<>();
    public static void clear() {
        ThreadLocalDataFilter.remove();
    }
    public static void set(DataFilterMetaData metaData) {
        ThreadLocalDataFilter.set(metaData);
    }
    public static DataFilterMetaData get() {
        return ThreadLocalDataFilter.get();
    }
}

加载拦截器

@Configuration
@MapperScan("com.laker.map.*.mapper")
public class MybatisConfig {
    @Bean
	public MybatisPlusInterceptor mybatisPlusInterceptor() {
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();

        // 添加数据权限插件
        DataPermissionInterceptor dataPermissionInterceptor = new DataPermissionInterceptor();
        LakerDataPermissionHandler lakerDataPermissionHandler = new LakerDataPermissionHandler();
        // 添加自定义的数据权限处理器
        dataPermissionInterceptor.setDataPermissionHandler(lakerDataPermissionHandler);
        interceptor.addInnerInterceptor(dataPermissionInterceptor);

        // 分页插件
        interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));
        return interceptor;
    }

注意要在分页插件之前添加。

忽略拦截

mybatis-plus内置了@InterceptorIgnore注解。其内置插件的一些过滤规则

  • 支持注解在 Mapper 上以及 Mapper.Method 上 同时存在则 Mapper.method 比 Mapper 优先级高
  • 支持: true 和 false , 1 和 0 , on 和 off
  • 各属性返回 true 表示不走插件(在配置了插件的情况下,不填则默认表示 false)
@InterceptorIgnore(dataPermission = "1")
@Select("select  * from resource_service_area ")
Page<ServiceArea> selectAll(Page page);

使用示例

  @Test
    public void testDataFilter() {
        // 模拟设置当前用户的id是123,其拥有的数据权限为:本人
        DataFilterThreadLocal.set(DataFilterMetaData.builder().filterType(DataFilterTypeEnum.SELF).userId(123L).build());
        Page<ServiceArea> page = new Page<>();
        Page<ServiceArea> page1 = serviceAreaMapper.selectAll(page);
        System.out.println(JSONUtil.toJsonStr(page1));
    }

这里验证了与分页插件一起使用,这也是我们非常常用的功能了。执行过程如下:

sql1:

ID:com.laker.map.resource.mapper.ServiceAreaMapper.selectAll_mpCount
Execute SQLSELECT
        COUNT(*) 
    FROM
        resource_service_area 
    WHERE
        1 = 1 
        AND create_by = 123

自动拼接了 WHERE 1 = 1 AND create_by = 123

sql2:

ID:com.laker.map.resource.mapper.ServiceAreaMapper.selectAll
Execute SQLSELECT
        * 
    FROM
        resource_service_area 
    WHERE
        1 = 1 
        AND create_by = 123 LIMIT 10

自动拼接了 WHERE 1 = 1 AND create_by = 123

结果

{
    "hitCount": false,
    "optimizeCountSql": true,
    "records": [
        {
            "address": "怀远县",
            "areaName": "君王服务区",
            "id": 26
        },
        {
            "address": "肥西县",
            "areaName": "丰乐服务区",
            "id": 27
        }
        xxx
    ],
    "total": 529,
    "current": 1,
    "size": 10,
    "orders": [
    ],
    "isSearchCount": true
}

参考:

  • https://blog.csdn.net/qq_29653517/article/details/86299928

  • https://blog.csdn.net/qq_43437874/article/details/114691376

  • https://pagehelper.github.io/docs/interceptor/

  • 动态数据权限的设计

🍎QQ群【837324215】
🍎关注我的公众号【Java大厂面试官】,一起学习呗🍎🍎🍎

lakernote
关注
专栏目录
Mybatis-plus(优雅实现数据权限
qq_37632483的博客
06-12 636
*** 拦截器,并设置数据库类型为mysql*/@Bean//实例化插件/*** 数据权限统一过滤器*//*** 设置数据权限值(可以改成不同请求,或不同用户不同的做)* @return*/@Override/*** 设置过滤字段(可以改成动态字段)* @return*/@Override/*** 设置是否使用数据权限* @param tableName 表名* @return*/@Override。
Spring Boot +mybatis plus 实现权限管理模块(RBAC)----仅后端
qq_58309003的博客
12-07 1323
首先创建项目,在pom文件中导入相关依赖,集成mybatis plus,刷新依赖, <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/P...
数据权限的设计与实现系列3——MybatisPlus数据权限插件实现机制及使用示例
最新发布
学海无涯,行者无疆
08-13 1208
本文介绍了MybatisPlus的数据权限插件的机制和使用,并通过一个具体示例补全了关键环节数据权限控制逻辑的实现。 与上篇若依开发平台对比,主要区别在于技术实现方式不同。 若依开发平台是自行拼接SQL片段,MybatisPlus的数据权限插件是基于拦截器机制,在执行SQL前解析和修改SQL。 但对于数据权限的控制维度和实现思路,都是一致的,基于部门维度,控制点放在角色上,因此角色爆炸问题和权限扩大问题,也都存在。
Mybatis-Plus入门系列(18) -基于注解的动态数据权限实现方案
记录知识、锤炼自我
11-09 6576
数据权限简介 前言 一般的系统都离不开权限模块,它是支撑整个系统运行的基础模块。而根据项目类型和需求的不同,权限模块的设计更是大相径庭。但不管怎么变,权限模块从大的方面来说,可以分为三种大的类型:功能权限、接口权限数据权限。 功能权限:也就是我们最熟悉的菜单、按钮权限。可以配置各个角色能看到的菜单、按钮从而从最表层分配好权限 接口权限:顾名思义,配置不通角色调用接口的权限。有些敏感接口,是只能有固定的一些角色才能调用,普通角色是不能调用的。这种情况需要有一个明确的系统来控制对应的访问权限 数据权限:是大家
使用MyBatis-Plus 及 注解 做数据权限
qq_41789605的博客
11-20 826
主要参考了若依的数据权限处理,但是考虑到使用了MyBatis-plus,就试着结合了一下子。下面是具体代码。
巧用 MyBatis Plus 实现数据权限控制
良月柒
08-26 180
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 10分钟。来自:blog.csdn.net/yiqiu1959/ article/details/128923821前言背景上代码(基础版)进阶版前言背景平时开发中遇到根据当前用户的角色,只能查看数据权限范围的数据需求。列表实现方案有两种,一是在开发初期就做好判断赛选,但如果这个需求是中途加的,或不希望每个接口都加一遍,就可以...
MybatisMybatisPlus轻松实现数据动态可配置热脱敏
DreamSun的博客
08-28 1594
网站开发功能是否全面是衡量的一个重要指标,往往我们还需要针对用户进行功能的拼接或者切割,这部分我愿称之为用户画像。在用户画像下我们还需要考虑的是如何做到精准控制。基于 Spring 我们可以轻松实现传统的 三元 管理用于精准控制用户的菜单、按钮、及资源。再仔细思考想,难道控制住资源就是精准控制了吗?我决定将精准下方我想细化到数据层面。本文主要是思路的剖析,并没有将每个案例都完成的代码呈现出来,因为在项目中也不可能同时使用上述所有的场景。我仅讲核心代码提供,部分辅助型的如有需要可以下方留言给你提供思路。
基于SpringBoot + MyBatis-Plus的快速开发脚手架
09-11
SpringBoot + MyBatis-Plus快速开发脚手架】是一种高效的开发框架组合,它将SpringBoot的便捷性与MyBatis-Plus的灵活性结合在一起,为开发者提供了一个快速构建应用的基础。SpringBoot简化了Spring应用程序的初始...
基于SpringBoot+MyBatis-Plus的快速开发脚手架平台,拥有完整的权限管理功能
04-08
【标题】"基于SpringBoot+MyBatis-Plus的快速开发脚手架平台"是一个集成了SpringBootMyBatis-Plus技术的高效开发框架,主要用于简化Web应用程序的构建过程,提供了一整套完整的权限管理功能。这个平台设计的目标是...
搭建开发脚手架 Spring Boot集成Mybatis-plus之二
2401_84009929的博客
03-31 941
private LocalDateTime updateTime;@TableField(fill = FieldFill.INSERT_UPDATE)private String operator;}整体原理当发生或者的sql脚本时候看下当前发生相关sql 的实体中相应字段的注解注解,即动态添加insert相关字段注解,即动态添加update相关字段注解,即动态添加insert和update相关字段自定义字段类型===============================================
基于SpringBoot+MyBatisPlus多模块后台开发脚手架
西里古里的博客
08-17 1180
一款 Java 语言基于SpringBoot2、Layui、Thymeleaf、MybatisPlus、Shiro、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪、富文本编辑器等等一系列个性化、轻量级的组件,是一款真正意义上实现组件化开发的敏捷开发框架,框架已集成了完整的RBAC权限架构
MyBatis Plus 使用拦截器实现数据自定义权限查询数据
TaylorSwiftRed的博客
11-03 742
Mybatis Plus使用自定义数据拦截器实现数据权限查询
mybatis根据用户id查询角色以及角色对应的权限
热门推荐
大海无量的博客
09-18 1万+
查询到的数据 {     "name": "admin",     "role": {         "id": 1,         "name": "管理员",         "permissionList": [{             "id": 1,             "name": "总公司&q
MyBatis-Plus中的查询操作
...
03-17 1067
根据id查询 @Test public void testSelectById(){ User user = userMapper.selectById(1L); System.out.println(user); } 通过多个id批量查询 //多个id批量查询 @Test void testSelectDemo1() { List<User> users = userMapper.selectBatchIds(Arrays.asList(1L,
SpringBoot+SpringSecurity整合(二)整合mysql和MybatisPlus进行权限管理
鹏举的博客
05-27 437
SpringSecurity授权 通过上一章SpringBoot+SpringSecurity整合(一)简单的使用了SpringSecurity,这一章将详细讲解SpringSecurity如何去授权 数据库编写 sys_user表 DROP TABLE IF EXISTS `sys_user`; CREATE TABLE `sys_user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(255) CHARACTER SET
SpringCloud微服务实战——搭建企业级开发框架(二十八):扩展MybatisPlus插件DataPermissionInterceptor实现数据权限控制
全栈程序猿的专栏
10-23 3849
  一套完整的系统权限需要支持功能权限数据权限,前面介绍了系统通过RBAC的权限模型来实现功能的权限控制,这里我们来介绍,通过扩展Mybatis-Plus的插件DataPermissionInterceptor实现数据权限控制。   简单介绍一下,所谓功能权限,顾名思义是指用户在系统中拥有对哪些功能操作的权限控制,而数据权限是指用户在系统中能够访问哪些数据权限控制,数据权限又分为行级数据权限和列级数据权限数据权限基本概念: 行级数据权限:以表结构为描述对象,一个用户拥有对哪些数据权限,表示为对数
mybatis-plus统一处理数据权限
x_u_xiang的博客
07-14 9176
问题:项目要求数据权限配置查询,全部、自定义、部门、部门及下级部门、个人。要求做统一处理。 分析: 数据权限精确到个人。那么每张表里面都要有创建人字段。每次插入数据都要保存创建人。查询的时候才能区分。 mybatis-plus统一处理创建时间,创建人,更新时间,更新人:统一处理创建人 查询的时候每个查询加条件代码太复杂。所以sql加统一处理例: SELECT %s FROM (%s) temp_data_scope WHERE temp_data_scope.%s IN (%s) 第一
使用mybatis-plus实现使用一个方法完成管理端列表界面数据查询功能
m0_55554710的博客
07-30 598
mybatis-plus开发小技巧
MybatisPlus实现数据权限
MichaelZ的博客
03-17 4396
MybatisPlus 是一款 Mybatis 的增强工具,它为 Mybatis 提供了丰富的查询接口,大大简化了数据库操作。MybatisPlus 具备代码生成器,支持一键生成 Entity、Mapper、Mapper XML、Service、Controller 等文件,有效提高开发效率。此外,MybatisPlus 还提供了分页插件、性能分析插件等,能够帮助开发者更好地优化数据库操作。
Mybatis-Plus入门教程:快速搭建与核心功能解析
"这篇文章是关于Mybatis-Plus搭建与使用入门的小结,旨在帮助开发者快速上手这个Mybatis的增强工具。Mybatis-Plus旨在简化开发,提高效率,它在Mybatis的基础上提供了更多的功能。" Mybatis-Plus (MP) 是一个针对...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lakernote

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值