Java若依框架权限隔离微调,基于groovy动态脚本实现动态隔离

已于 2023-04-07 14:39:35 修改
阅读量340 收藏 1
点赞数
文章标签: java jvm 后端
于 2023-04-07 13:43:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darkkara/article/details/130008207
版权

文章目录

前言

由于若依的权限隔离过于简单,满足不了公司现有的需求,所以作者对现有的需求进行更改,这里作者采用了Groovy脚本对方法进行动态设置,然后传入当前用户信息和所有用户部门的信息,在脚本中进行计算并采用与若依一样的设计通过切面的方式将sql注入到目标sql中,这里将实现方式进行记录

一、前置条件

若依框架以及相关环境,Groovy 4.0.9

        <dependency>
            <groupId>org.apache.groovy</groupId>
            <artifactId>groovy</artifactId>
            <version>4.0.9</version>
        </dependency>

二、使用步骤

1.配置以及注解扫描

首先加入配置类在项目启动时对@DataScopePlus进行扫描

@Configuration
public class DataScopeConfig implements ApplicationContextAware, ApplicationRunner {

    private ApplicationContext context;

    /**
     * 在新项目启动时获取被标注的@DataScopePlus标注的方法,如何将方法缓存以供用户设置
     */
    public void doHandleDataScopeClass() {
        Map<String,String> container = MapUtil.newHashMap();
        Map<String, Object> serviceMap = context.getBeansWithAnnotation(Service.class);
        Collection<Object> values = serviceMap.values();
        for (Object value : values) {
            if (AopUtils.isCglibProxy(value)) {
                Class<?> clazz = AopUtils.getTargetClass(value);
                for (Method method : clazz.getMethods()) {
                    if (method.isAnnotationPresent(DataScopePlus.class)) {
                        String clazzName = clazz.getName();
                        String methodName = method.getName();
                        container.put(clazzName, methodName);
                    }
                }
            }

        }
        //放入缓存或者放入数据库进行持久化,以供配置选择
    }

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        this.context = applicationContext;
    }

    @Override
    public void run(ApplicationArguments args) throws Exception {
        this.doHandleDataScopeClass();
    }
}

/**
 * 数据权限过滤注解
 *
 * @author 玄夜喀拉
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataScopePlus {
}

2.实体设计与缓存

将被标记@DataScope的方法进行缓存,这里是实体Model信息

@Data
public class DataScopeCacheModel implements Serializable {
    private static final long serialVersionUID=1L;

    /**
     * groovy脚本的id
     */
    private String scriptId;
    /**
     * 特殊权限(拥于特殊权限的角色不进行权限隔离)
     */
    private Set<String> spelRole;

    /**
     * 类名
     */
    private String clazz;
    /**
     * 方法名
     */
    private String method;

    /**
     * 表信息
     */
    private Queue<DataScopeTableInfo> info;

    /**
     * 权限隔离表信息类
     */
    static class DataScopeTableInfo{

        /**
         * 表别名
         */
        private String tableAlias;
        /**
         * 字段别名
         */
        private String fieldAlias;

        /**
         * 连接符  and 或者 or... 使用or可能会导致索引失效,这里要结合实际业务来实现
         */
        private String connector;
    }
}

3.切面的改造

这里对原有的若依切面进行了改造,因为若依原有的数据隔离方式过少,不符合公司现有的需求,这里改为了通过脚本的方式调用,如何发生异常了为了防止数据泄露直接拼接1!=1进行数据的隔离

    @Before("@annotation(controllerDataScope)")
    public void doBefore(JoinPoint point, DataScopePlus controllerDataScope) {
        try {
            clearDataScope(point);
            Signature signature = point.getSignature();
            String className = signature.getDeclaringTypeName();
            String methodName = signature.getName();
            //通过className和MethodName获取缓存的信息
            //....假设这里已经获取到了
            DataScopeCacheModel cache=...;
            if (ObjectUtil.isEmpty(cache)) {
                this.setSqlString(point, "1!=1");
                return;
            }
            String scriptId = cache.getScriptId();
            //通过缓存的脚本获取脚本内容
            String content="....."
            if (ObjectUtil.isEmpty(content)) {
                this.setSqlString(point, "1!=1");
                return;
            }
            handleDataScope(point, cache, content);
        } catch (Exception e) {
            log.error("数据权限判断错误:{},异常信息:", SecurityUtils.getUserName(), e);
            this.setSqlString(point, "1!=1");
        }

    }
 /**
     * 处理数据权限信息
     *
     * @param joinPoint 切点
     * @param cache     缓存
     * @param content   脚本内容
     */
    protected void handleDataScope(final JoinPoint joinPoint, DataScopeCacheModel  cache, String content) {
        // 获取当前的用户
        //如果是vip,跳过鉴权,这里其实就是当前用户的权限id与目标的权限id取交集
        if (checkSpel(cache.getSpelRole())) {
            return;
        }
        //执行脚本并返回拼接的sql
        String sqlString = this.executeScript(content, cache);
        this.setSqlString(joinPoint, sqlString);
    }

     /**
     * 执行脚本
     *
     * @param script 脚本内容
     * @return 返回拼接的sql
     */
    private String executeScript(String script, DataScopeCacheModel  cache) {
        Binding binding = new Binding();
        binding.setVariable(USER, SecurityUtils.getUserId());
        binding.setVariable(DEPT, SecurityUtils.getDeptId());
        //...略,这里把用户信息与接口的信息传入Groovy脚本
        GroovyShell shell = new GroovyShell(binding);
        return (String) shell.evaluate(script);
    }

4.Groovy脚本的实现

这里仅对一个字段进行了实现,如何存在多个字段进行sql的拼接的情况,这里的sqlString两个字段会相同,这里可以加入具体的权限进行实现,譬如说当前用户,当前用户的部分用户,当前用户的下级等条件。

这里的脚本仅针对了一个字段,如果有多个字段的话,我能想到的就是继续添加脚本,因为字段的数量是可控的但是与字段拼接的值还需要和业务相匹配,如果随着业务的增加,这里的脚本可能会越来越多


/**
 * 自己只能看自己的,部门领导可以看部门下的所有数据
 * @author 玄夜喀拉
 */
def userId = (String) binding.getVariable(DataScopePlusAspect.USER)
def deptId = (String) binding.getVariable(DataScopePlusAspect.DEPT)
def tableAlias = (String) binding.getVariable(DataScopePlusAspect.TABLE_ALIAS)
def fieldAlias = (String) binding.getVariable(DataScopePlusAspect.FIELD_ALIAS)
def andAdd = (Boolean) binding.getVariable(DataScopePlusAspect.AND_ADD)

//部门表
def deptList = ...这里获取部门的列表
//用户表
def userList = ...这里获取用户的列表

//构建部门map和用户map
def deptMap = deptList.stream().collect(Collectors.toMap((SysDept k) -> String.valueOf(k.getDeptId()), Function.identity()))

//获取部门与用户list的映射
def deptUsersMap = userList.stream().collect(Collectors.groupingBy({ SysUser user -> String.valueOf(user.getDeptId()) }, Collectors.mapping({ SysUser user -> String.valueOf(user.getUserId()) }, Collectors.toList())))
//最终可查看的用户数据
Set<String> result = new HashSet<>()

//获取用户的子部门信息
//找出该用户所在部门的子部门
List<String> childDeptIds = new ArrayList<>();
for (SysDept deptItem : deptList) {
    String ancestors = deptItem.getAncestors();
    if (ancestors.contains(String.valueOf(deptId))) {
        childDeptIds.add(String.valueOf(deptItem.getDeptId()));
    }
}
//判断,如果是叶子节点,则只查看该用户自己的数据
if (childDeptIds.size() == 0) {

    //判断该部门的领导是不是当前用户
    def sysDept = deptMap.get(deptId)

    //是否为该部门领导,找出该部门的用户
    if (userId == sysDept.leaderId.toString()) { //是领导
        def userIds = deptUsersMap.get(deptId);
        if (userIds) {
            //获取该部门的所有用户
            result.addAll(userIds)
        }
    } else {
        //不是领导添加自己即可
        result.add(userId)
    }
} else {//有子部门,说明该用户不为普通人,直接找他的部门和子部门的所有用户

    //将自己的部门也加进去
    childDeptIds.add(deptId)

    childDeptIds.each({ child ->
        {
            List<String> userIds = deptUsersMap.get(child)
            if (userIds) {
                result.addAll(userIds)
            }
        }
    })
}

//遍历部门表,查看leader是否相等
deptList.each({ deptInfo ->
    if (String.valueOf(deptInfo.leaderId) == userId && String.valueOf(deptInfo.deptId) != deptId) {
        childDeptIds.add(String.valueOf(deptInfo.deptId))
        childDeptIds.each({ item ->
            List<String> userIds = deptUsersMap.get(item)
            if (userIds) {
                result.addAll(userIds)
            }
        })
    }
})

//拼接用户字符串
def sqlString = StrUtil.join(",", result)

String table = ""
if ("" != tableAlias) {
    table = "${tableAlias}."
}
if ("" == fieldAlias) {
    fieldAlias = "create_by"
}
return "${andAdd ? 'and' : ''} ${table} ${fieldAlias} in (${sqlString})".toString()

总结

Groovy是一个基于JVM的脚本语言,它可以与Java互相调用,相较于原有的方式,使用groovy的方式程序效率相较于若依原版会更加低一点,而且依赖Groovy环境容易出现问题,但是这种实现方式更加灵活可控,能完成一些复杂逻辑的代码。

玄夜卡拉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
若依笔记(三):权限控制与数据隔离
叶子叶来
11-02 1894
​ 已知若依单体的前端采用vue-element-admin,在前端的专栏系列vue-element-admin的动态路由已详细拆解,其最大特点是使用后端返回数据控制前端菜单,每次接口请求前会有路由拦截来获取权限和菜单列表并重新渲染页面,配合若依后端自己实现数据权限切面,能够实现很好地的数据隔离权限隔离,那么现在就从代码层面分析其实现; ​
Java调用Groovy,实时动态加载数据groovy脚本
06-08
Java调用Groovy,实时动态加载数据groovy脚本java读取mongoDB的groovy脚本,加载实时运行,热部署
若依后端分离版本权限控制的处理
qq_45765384的博客
04-18 295
若依的菜单角色权限,以及数据隔离权限的设置
若依权限管理,数据隔离实现保姆级教程
sunnycjy_的博客
02-17 2243
该篇博文针对学习若依权限相关时的一些设置和问题的记录。
若依数据隔离${params.dataScope}
weixin_45438577的博客
02-26 1万+
1、在(系统管理-角色管理)设置需要数据权限的角色目前支持以下几种权限 全部数据权限 自定数据权限 部门数据权限 部门及以下数据权限 仅本人数据权限2、在需要数据权限控制方法上添加@DataScope注解,其中d和u用来表示表的别名 // 部门数据权限注解 @DataScope(deptAlias = “u”) // 部门及用户权限注解 @DataScope(deptAlias = “d”, userAlias = “u”) 3、在mybatis查询底部标签添加数据范围过滤 ${params.dataSc
若依多租户集成浅析(基于数据隔离)1-自动注册租户机制
qq_39007838的博客
12-06 5602
saas 多租户 多数据若依
Ruo-Yi前后端分离的数据过滤
H_Q_Li的博客
10-19 2977
Ruo-Yi前后端分离的数据过滤
若依多租户集成浅析(基于数据隔离)2-多租户数据源切换插件实现
qq_39007838的博客
01-03 3006
若依 多租户 多数据
groovy-loader:在文件目录中动态加载Groovy脚本
05-14
动态加载指定目录下的groovy脚本,并将其注册为groovy bean,放置于ApplicationContext容器中,并使用命名空间进行分类区分(一个namespace对应于一个ApplicationContext)。同时能够动态感知到groovy脚本的新增、修改...
基于groovy实现 java脚本动态编译、部署、发布;可以通过脚本直接调用dubbo接口.zip
03-23
基于groovy实现 java脚本动态编译、部署、发布;可以通过脚本直接调用dubbo接口
groovy-loader-v2:在文件目录中动态加载Groovy脚本
05-12
动态加载指定目录下的groovy脚本,并将其注册为groovy bean,放置于ApplicationContext容器中,并使用命名空间进行分类区分(一个namespace对应于一个ApplicationContext)。同时能够动态感知到groovy脚本的新增、修改...
java 动态脚本语言 精通 Groovy
09-05
java 动态脚本语言 精通 Groovy
java groovy集成_Groovy 使 Spring 更出色,集成的基础知识
weixin_35426348的博客
03-04 342
Spring2.0 支持将动态语言集成到基于 Spring 的应用程序中。Spring 开箱即用地支持 Groovy、JRuby和 BeanShell。以 Groovy、JRuby 或任何受支持的语言(当然包括 Java? 语言)编写的应用程序部分可以无缝地集成到Spring 应用程序中。应用程序其他部分的代码不需要知道或关心单个 Spring bean 的实现语言。Spring 支持动态语言意味...
SpringBoot 整合 Groovy 脚本实现动态编程
芋艿V
12-10 288
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
Groovy源编程(MOP)动态拦截(AOP)方法(比如记录String的concat和toUpperCase
weixin_34292402的博客
09-10 183
实现AOP的方式有很多种,像Spring的AOP,它只能拦截Spring托管的bean;Groovy AST Transformations、ASM等在编译阶段通过修改字节码也可以做AOP;JAVA HOOK也可以做,但比较麻烦。 Groovy MOP提供了一种很简单的方法实现AOP。 下面通过例子试用一下: 如果想动态拦截某个方法,不想改源代码(或者不能改源码,...
若依框架 使用数据权限功能
编程圈子-谢厂节的博客
10-20 2339
低代码开发框架若依,使用数据权限功能。
java 项目通用数据权限设计
最新发布
学海无涯,我用JAVA
05-15 782
权限一般分为操作权限数据权限操作权限: 菜单,页面,按钮数据权限: 能看到的数据,包括各种页面的数据范围这里不做扩展,其实这里仅仅是最简单的方式,即直接通过限制表达到对于业务表的数据过滤,那么其实我们还可以通过其他方式限制;通过字典组限制,那么exists内部在拼接之前可能需要二次处理;通过sql语句配置限定条件,那么我们需要拼接sql语句,甚至当sql语句中有变量,我们需要解析后,再拼接到sql片段中;
若依ruoyiAOP切面用于数据过滤和权限处理实例
xsj5211314的博客
03-28 7163
介绍若依ruoyi使用AOP编程的实例,用于数据过滤和权限处理
Java权限设计与控制
热门推荐
zhangxing
06-17 2万+
1.场景还原 近期,由于项目中要引用权限模块,于是笔者趁着空暇时间写了一个权限控制的小Demo,现在跟大伙讲讲权限的原理。2.权限数据库设计user:用户表user_role:用户角色表(用户跟角色多对多关系)role:角色表role_permission:角色权限表(角色跟权限多对多关系)permisssion:权限表3.权限需求设计该工程实现的需求:1.通过用户id得到该用户的所有角色...
基于flink与groovy实现全实时动态规则智能营销与风控系统
09-30
基于Flink与Groovy实现全实时动态规则智能营销与风控系统,主要利用了Flink的实时流处理能力和Groovy动态语言特性。 首先,Flink作为一个开源流处理框架,可以支持大规模数据的实时处理和分析。通过Flink的流式计算模型和状态管理机制,我们可以实时地对数据流进行分析和处理。在这个系统中,Flink可以承担数据的实时传输和处理任务,从不同的数据源获取数据,并进行实时的数据清洗、过滤、转换、聚合等操作。 其次,Groovy作为一种动态编程语言,具有灵活的语法和扩展性。在该系统中,我们可以使用Groovy作为规则引擎的脚本语言,编写并执行各种规则。Groovy动态性使得我们可以根据实际情况,在系统运行过程中动态地修改、添加、删除规则,从而实现实时的动态规则调整和更新。 基于上述两个技术,我们可以实现全实时动态规则智能营销与风控系统。该系统可以在实时数据流中根据预先定义或动态添加的规则,判断数据是否满足某些条件,进而触发相应的营销或风控策略。例如,在营销方面,可以根据用户的行为数据动态地识别用户的购买意向,并实时推送个性化的营销信息;在风控方面,可以根据实时的交易数据动态地检测风险事件,实施实时的异常交易监控和风险预警。 综上所述,基于Flink与Groovy的全实时动态规则智能营销与风控系统,可以实现实时的数据处理和规则匹配,有效地提升营销效果和风控能力。该系统具有高效性、灵活性和可扩展性,能够适应不断变化的业务需求和规则变动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值