Spring-MyBatis-SQL拦截

最新推荐文章于 2023-10-06 17:19:27 发布
最新推荐文章于 2023-10-06 17:19:27 发布
阅读量305 收藏
点赞数
文章标签: java 数据库 测试
原文链接:https://my.oschina.net/u/3681868/blog/3074877
版权

一、应用场景

       在项目中, 针对敏感数据等重要数据的列表查询,为避免数据泄露等, 需要针对数据添加权限。

       场景:有三个账号:员工A、员工B、经理A;专员A、B 属于经理A的下级,且他们属于同一部门; 在数据库中的客户列表中, 员工A、B只能查看自己服务的客户列表, 经理A可以查看该部门的客户列表,不能查看其他部门的客户列表;在这中场景下,就需要应用到数据权限了。

        为了方便不影响其他业务编码,降低耦合, 在底层SQL执行前拦截根据权限条件添加WHERE条件,进行动态更改SQL

二、Jar包准备 (不用分页,不要也可以)

<dependency>
     <groupId>com.github.pagehelper</groupId>
     <artifactId>pagehelper</artifactId>
     <version>5.1.8</version>
</dependency>

三、编码准备

package com.richfun.boot.common.config;

import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.mapping.SqlCommandType;
import org.apache.ibatis.mapping.SqlSource;
import org.apache.ibatis.plugin.*;
import org.apache.ibatis.reflection.MetaObject;
import org.apache.ibatis.reflection.SystemMetaObject;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;
import org.springframework.stereotype.Component;

import java.util.Properties;

/**
 * MyBatis SQL拦截
 * @author geYang 2019-07-16
 * */
@Component
@Intercepts(@Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}))
public class MBSqlInterceptor implements Interceptor {

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {}

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        String sqlType = getSqlType(invocation);
        if (!SELECT.equals(sqlType)) {
            return invocation.proceed();
        }
        String sqlId = getSqlId(invocation);
        System.out.println("SQL__ID: " + sqlId);
        String sql = getSql(invocation);
        System.out.println("原始SQL: " + sql);
        String updateSql = getUpdateSql(sql);
        System.out.println("查询SQL: " + updateSql);
        if (!sql.equals(updateSql)) {
            updateSql(invocation, updateSql);
        }
        return invocation.proceed();
    }

    /**
     * 拦截编辑后的SQL
     * */
    private String getUpdateSql(String sql) {
        StringBuilder updateSql = new StringBuilder(sql);
        // 各种数据权限拦截
        boolean is_where = sql.contains("WHERE") || sql.contains("where");
        if (is_where) {
            updateSql.append(" AND user_id > 1");
        } else {
            updateSql.append(" WHERE user_id > 1");
        }
        return updateSql.toString();
    }

    /**
     * 获取SQL类型
     * */
    private static final String SELECT = "SELECT", INSERT = "INSERT", UPDATE = "UPDATE", DELETE = "DELETE";
    private static String getSqlType(Invocation invocation) {
        final Object[] args = invocation.getArgs();
        MappedStatement ms = (MappedStatement) args[0];
        SqlCommandType commandType = ms.getSqlCommandType();
        if (commandType.compareTo(SqlCommandType.SELECT) == 0) { return SELECT; }
        if (commandType.compareTo(SqlCommandType.INSERT) == 0) { return INSERT; }
        if (commandType.compareTo(SqlCommandType.UPDATE) == 0) { return UPDATE; }
        if (commandType.compareTo(SqlCommandType.DELETE) == 0) { return DELETE; }
        return null;
    }
    /**
     * 获取SQL-ID
     * */
    private String getSqlId(Invocation invocation) {
        final Object[] args = invocation.getArgs();
        MappedStatement ms = (MappedStatement) args[0];
        return ms.getId();
    }
    /**
     * 获取SQL语句
     * */
    private String getSql(Invocation invocation) {
        final Object[] args = invocation.getArgs();
        MappedStatement ms = (MappedStatement) args[0];
        Object parameterObject = args[1];
        BoundSql boundSql = ms.getBoundSql(parameterObject);
        return boundSql.getSql();
    }

    /**
     * 修改SQL语句
     * */
    private void updateSql(Invocation invocation, String sql) {
        final Object[] args = invocation.getArgs();
        MappedStatement ms = (MappedStatement) args[0];
        Object parameterObject = args[1];
        BoundSql boundSql = ms.getBoundSql(parameterObject);
        MappedStatement newStatement = newMappedStatement(ms, new BoundSqlSqlSource(boundSql));
        MetaObject msObject = SystemMetaObject.forObject(newStatement);
        msObject.setValue("sqlSource.boundSql.sql", sql);
        args[0] = newStatement;
    }

    /**
     * SQL
     * */
    private MappedStatement newMappedStatement(MappedStatement ms, SqlSource newSqlSource) {
        MappedStatement.Builder builder = new MappedStatement.Builder(ms.getConfiguration(), ms.getId(), newSqlSource, ms.getSqlCommandType());
        builder.resource(ms.getResource());
        builder.fetchSize(ms.getFetchSize());
        builder.statementType(ms.getStatementType());
        builder.keyGenerator(ms.getKeyGenerator());
        if (ms.getKeyProperties() != null && ms.getKeyProperties().length != 0) {
            StringBuilder keyProperties = new StringBuilder();
            for (String keyProperty : ms.getKeyProperties()) {
                keyProperties.append(keyProperty).append(",");
            }
            keyProperties.delete(keyProperties.length() - 1, keyProperties.length());
            builder.keyProperty(keyProperties.toString());
        }
        builder.timeout(ms.getTimeout());
        builder.parameterMap(ms.getParameterMap());
        builder.resultMaps(ms.getResultMaps());
        builder.resultSetType(ms.getResultSetType());
        builder.cache(ms.getCache());
        builder.flushCacheRequired(ms.isFlushCacheRequired());
        builder.useCache(ms.isUseCache());
        return builder.build();
    }

    /**
     * SQL 绑定工具
     * */
    private class BoundSqlSqlSource implements SqlSource {
        private BoundSql boundSql;
        BoundSqlSqlSource(BoundSql boundSql) {
            this.boundSql = boundSql;
        }
        @Override
        public BoundSql getBoundSql(Object parameterObject) {
            return boundSql;
        }
    }

}

四、配置拦截器 mybatis-config.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE configuration
        PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
    
    <!-- 自定义SQL拦截, 执行顺序: 从下往上 -->
    <plugins>
        <!-- 分页拦截 (不用分页,不要也可以)-->
        <plugin interceptor="com.github.pagehelper.PageInterceptor">
            <property name="helperDialect" value="mysql"/>
        </plugin>
        <!-- SQL拦截 -->
        <plugin interceptor="com.gy.spring.mvc.common.interceptor.MBSqlInterceptor" />
    </plugins>

</configuration>

五、使用

    @Test
    public void testDao() {
//        PageHelper.startPage(1, 10);
        List<Map<String, Object>> list = commonDao.list("UserMapper.listUser", null);
        System.out.println(list);
    }

3597ec8cb050efa7240de39195adbb40b46.jpg

六、总结

     SQL拦截基于动态代理的方式来实现, 只需实现 Interceptor 接口即可;

七、分页文档资料

      Mybatis-PageHelper:  https://github.com/pagehelper/Mybatis-PageHelper     

      PageHelper拦截文档:  https://pagehelper.github.io/docs/interceptor/

 

转载于:https://my.oschina.net/u/3681868/blog/3074877

chongwujiong1422
关注
springboot全局拦截sql异常
u013008898的博客
11-10 1317
处理流程:经查找com.mysql.cj.jdbc.exceptions的父类为SQLException,在全局异常处理类中增加如下配置,经测试不起作用。起因:非法用户可通过特定的输入(如输入内容超长)等操作,使后台逻辑发生错误,从而使后台sql语句暴露至前台,进而为sql攻击提供条件。因为ExceptionHandler 只认我们注入的类名称,所以我们的曲线一下,在RuntimeException中进行判断。
web前端开发师就业班,css怎么让文字上下居中
m0_60125067的博客
07-24 181
背景 以SpringCloud构建的微服务系统为例,使用前后端分离的架构,每个系统都会提供一些通用的请求参数,例如移动端的系统版本信息、IMEI信息,Web端的IP信息,浏览器版本信息等,这些参数可能放在header里,也可以放在参数里,如果这些参数需要在每个方法内声明定义,一来工作量太大,二是这些通用参数与业务接口方法耦合过紧,本身就是一个不好的设计。 这个问题该如何优雅地解决呢? 最佳实践 实现思路 利用SpringMVC提供拦截器,对匹配的请求,抽取通用的header信息(假设通用字段全部放在hea
mybatis执行SQL语句之前进行拦击处理实例
08-30
本篇文章主要介绍了在mybatis执行SQL语句之前进行拦击处理实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
mybatis执行SQL语句之前进行拦击处理
热门推荐
Y-CAT的专栏
12-17 5万+
本文已经过时,大家可以阅读,不要再使用了。 github 有个开源的 jar工程:https://github.com/pagehelper/Mybatis-PageHelper 比较适用于在分页时候进行拦截。对分页的SQL语句通过封装处理,处理成不同的分页sql。 实用性比较强。 import java.sql.Connection; import java.sql.Prep...
拦截所有ibatissql执行_SpringMVC中的拦截
weixin_28893597的博客
01-20 543
关注不迷路大家好,今天我给大家分享一下SpringMVM中的拦截器。Springmvc的处理器拦截器类似于Servlet 开发中的过滤器Filter,用于对处理器进行预处理和后处理。本文主要总结一下springmvc中拦截器是如何定义的,以及测试拦截器的执行情况和使用方法。1. SpringMVC拦截器的定义在springmvc中,定义拦截器要实现HandlerInterceptor接口,并实现该...
java拦截执行的sql,写个mybatis拦截插件,实现将所有执行的sql写入文件里
weixin_35682426的博客
03-12 568
这次项目中要求把所有mybatis所执行的sql都记录到一个文件中,下面是自己写的一个插件(源是参考网上一个重写mybatis分页插件的例子):1.配置插件(在mybatis的配置文件里mybatis.xml配置自己写的这个插件(拦截器)):2.MyBatisSQLInterceptor的内容:package com.zqgame.interceptors;import java.io.File;...
spring-mybatis-spring-1.2.2.zip
04-19
6. **AOP代理**:Spring的AOP(面向切面编程)支持可以用于拦截Mapper接口的方法调用,实现例如日志记录、权限检查等切面逻辑。 7. **性能优化**:整合后,还可以利用Spring的缓存支持,例如使用 EhCache 或 Redis ...
spring-mybatis-spring-2.0.2.zip
04-19
在实际项目中,SpringMyBatis的整合还有许多进阶应用,例如使用MyBatis的缓存机制提高性能,利用Spring的AOP实现通用的拦截器,以及配合Spring Boot简化配置等。这些都为开发者提供了更广阔的发挥空间,让项目开发...
spring-mybatis-spring-2.1.1.zip
04-19
2.3 AOP集成:Spring的AOP机制可以用于拦截器,实现通用的功能,如日志记录、权限控制等,使得MyBatis的操作更加便捷。 三、整合步骤 3.1 添加依赖:在项目中引入SpringMyBatis的相关jar包或Maven/Gradle依赖。 ...
项目配置文件( spring-mvc.xml spring-mybatis.xml web.xml log4j.properties)
02-07
通过这个配置,Spring可以管理MyBatisSqlSession,实现数据库操作的事务控制,并且能够自动扫描和加载Mapper接口,使得SQL查询可以通过注解或者XML文件进行定义。 3. **web.xml**: 这是Web应用的部署描述符,定义...
spring-boot-starter-mybatis-spring-boot-3.0.0.tar.gz
最新发布
04-19
- 日志监控:利用Spring Boot的日志系统和MyBatis的日志插件,对SQL执行情况进行实时监控。 - 性能优化:合理设置数据源参数,如连接池大小、超时时间等,以提升应用性能。 总之,Spring Boot 3.0.0与MyBatis的...
mybatis sql拦截 方法做java 数据权限(应公司要求,写个方案,记录在这里)
一念轮回君千殇的博客
08-20 1431
数据权限,一般就是作用于查询,规定用户能看到哪些数据。本次案例以通用的 本人,本部门,本公司,全部 来做,具体可以根据自己业务来灵活处理。 一.数据权限要设置到角色上(但要注意,一个用户可能是有多个角色的,对于某个模块的数据权限,要去角色中最高等级的权限) 1.定义数据权限类型,即哪些模块需要加数据权限。比如:员工模块 权限范围: 2.在后台管理操作上,对应数据权限的设置,模块信息就是从这里取的,然后进行设置保存到数据库。当然,此模块也可以做成数据保存到数据库。 3.后台保存后,会将...
SpringBoot项目自定义拦截器打印SQL语句或者进行SQL日志收集
Be_insighted的博客
09-01 1060
拦截器的基本使用,本文不涉及,请看此篇文章介绍。 定义SQL语句拦截器 /** * [ mybaits sql 拦截器 ] * * @author be_insighted */ @Intercepts({@Signature(type = org.apache.ibatis.executor.Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, Resul
Mybatis通过拦截器打印并保存执行SQL
王绍桦
01-11 1534
Web项目 1.创建拦截器类 import java.text.DateFormat; import java.text.SimpleDateFormat; import java.util.Date; import java.util.HashMap; import java.util.List; import java.util.Locale; import java.util.Map;...
MyBatis框架介绍,以及SpringMvc的JSR拦截器设置
qq_53092699的博客
07-23 224
主要叙述了mydatis简介以及SpringMvc的JSR拦截器使用方法
aop拦截mybatis执行sql_Mybatis插件原理
weixin_34063855的博客
12-29 831
文章内容输出来源:拉勾教育Java高薪训练营本文会针对Mybatis的插件原理进行探究,将会分成下面几个模块进行阐述Mybatis的插件机制介绍Mybatis的插件底层原理自定义一个Mybatis插件1、Mybatis的插件介绍在学习Mybatis插件之前,先定一个小目标为什么要学Mybatis插件?有什么作用?Mybatis插件用在哪里?Mybatis插件的调用时机是什么一般开源框架都会提供扩展...
MyBatis的动态拦截sql并修改
ewcc_ycl的博客
06-02 4854
动态拦截sql以注解实现
Springboot使用Aop保存接口请求日志到mysql(及解决Interceptor拦截器中引用mapper和service为null)
weixin_42966151的博客
10-06 939
但是项目如果需要记录这些被拦截的非法请求的话,目前暂时的解决方法是在Interceptor拦截器所拦截非法的请求之前再使用前面的RequestLogMapper再重新进行保存一次(只针对非法请求,因为合法请求会通过Aop日志拦截)。当我们项目中同时使用Interceptor拦截器和aop日志拦截时,被Interceptor拦截器所拦截的请求不会通过aop日志保存到数据库(防止恶意爬虫)。
spring拦截异常统一处理的几种方式以及优缺点(代码只是小部分,逻辑请根据实际情况编写)
qq_39835420的博客
09-15 1370
spring拦截异常统一处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值