SpringBoot 动态权限、动态SQL功能实现

最新推荐文章于 2024-01-25 14:59:28 发布
最新推荐文章于 2024-01-25 14:59:28 发布
阅读量957 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq873113580/article/details/129087917
版权

动态权限表设计思路:

用户对角色、角色对接口和自定义SQL的配置。

 

 

定义一个DataScope注解

/**
 * 数据权限过滤注解
 *
 */
@Target({ ElementType.PARAMETER, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataScope {
    //内部暂时不需要参数,只是用这个注解用来做AOP的监控
}

给要加权限的接口加上注解

 写一个AOP监控类,主要思路:

监控在需要验证权限的方法进来后,在调用数据库逻辑之前,手动获取数据的动态SQL,拼接到请求参数里面,最后把这个参数写到sql里面就行了

package com.java.core.web.aop;

import com.java.core.com.utils.StringUtils;
import com.java.core.com.utils.spring.SpringUtils;
import com.java.core.core.security.JwtTokenUtils;
import com.java.core.entity.master.BaseEntity;
import com.java.core.entity.master.SysRule;
import com.java.core.entity.master.SysUser;
import com.java.core.mapper.master.SysRuleMapper;
import com.java.core.service.system.SysUserService;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.List;

/**
 * 数据过滤处理
 *
 */
@Aspect
@Component
public class DataScopeAspect {
    /**
     * 数据权限过滤关键字
     */
    public static final String DATA_SCOPE = "dataScope";

    // 配置织入点
    @Pointcut("@annotation(com.java.core.com.annotation.DataScope)")
    public void pointcut()
    {
    }
    /**
     * 请求前访问
     *
     * @param joinPoint 切点
     */
    @Before("pointcut()")
    public void beforeAdvice(JoinPoint joinPoint) throws Exception {
        try {
            clearDataScope(joinPoint);
            dataScope(joinPoint);
        }catch (Exception e){
            throw  new Exception("Aop DataScope Error:"+e.getMessage());
        }
    }
    protected void dataScope(final JoinPoint joinPoint)
    {
        // 获取当前的用户
        String userId = JwtTokenUtils.getUserId();
        SysUser user = SpringUtils.getBean(SysUserService.class).selectById(Long.parseLong(userId));
        if(user==null)return;//找不到用户不处理
        if(user.isAdmin())return;//超级管理员,则不过滤数据,因为加权限的sql都是不带w
        //动态权限SQL拼接
        dataScopeFilter(joinPoint, user);
    }
    /**
     * 数据范围过滤
     *
     * @param joinPoint 切点
     * @param user 用户
     */
    public static void dataScopeFilter(JoinPoint joinPoint, SysUser user)
    {
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = attributes.getRequest();
        //请求的地址
        String apiUrl = request.getRequestURI();
        StringBuilder sqlString = new StringBuilder();
        List<SysRule> ruleList = SpringUtils.getBean(SysRuleMapper.class).getDataScope(user.getUser_id(),apiUrl);
        if(ruleList.size()==0)return;//找不到权限不处理
        //符合条件的全部用or拼接起来
        for (SysRule rule:ruleList) {
            String sql=rule.getSql();
            //字符变量替换
            //sql=sql.replace("#{userId}",user.getUser_id())
            sqlString.append(sql+" or");
        }
        //拼接一个完整的条件
        sqlString.append(" 1=0");

        //动态SQL写入请求参数
        if (StringUtils.isNotBlank(sqlString.toString()))
        {
            Object params = joinPoint.getArgs()[0];
            if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
            {
                BaseEntity baseEntity = (BaseEntity) params;
                baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString + ")");
            }
        }
    }
    /**
     * 拼接权限sql前先清空params.dataScope参数防止注入
     */
    private void clearDataScope(final JoinPoint joinPoint)
    {
        Object params = joinPoint.getArgs()[0];
        if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
        {
            BaseEntity baseEntity = (BaseEntity) params;
            if(baseEntity.getParams()==null){
                baseEntity.setParams(new HashMap<String, Object>());
            }
            baseEntity.getParams().put(DATA_SCOPE, "");
        }
    }
}

Mybatis写法

<select id="dynamicSqlTest" resultType="com.java.core.entity.master.SysUser">
        SELECT * FROM sys_user
        WHERE 1=1
        <!-- 数据范围过滤 -->
        ${params.dataScope}
    </select>

这样就行了

Teln_小凯
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合MybatisPlus实战动态SQL
2401_84004024的博客
04-30 402
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**
Springboot 配置动态数据源(Mybatis-plus)
qq_43812006的博客
06-08 3778
文章主要记录了这几天在mybatis-plus的项目内实现动态切换数据源的几个坑点和解决方案
Spring boot 搭建一个简易的动态数据源的编写sql平台
axxaaxxaaxxa的博客
10-16 375
*** 数据源注册/取消注册/替换/*** 数据源替换* @param name 数据源名称* @param dataSource 数据库* @return/*** 注册新的数据源* @param name 数据源名称* @param dataSource 数据库* @return/*** 注销数据源* @param name 数据源名称* @return/*** 包含数据库名* @return。
【MyBaits】SpringBoot整合MyBatis之动态SQL
qq_61903414的博客
05-13 1817
将查询语句中的where关键字使用该标签代替,通常与if标签搭配使用,它比传统的SQL中的关键字where优势是,如果所有的查询条件都没有则最终生成SQL语句时不生成没有条件的where,它会将紧跟这where的标签的第一个and删除比如where and会将and删除。如果我们要执行的SQL语句中不确定有哪些参数,此时我们如果使用传统的就必须列举所有的可能通过判断分支来解决这种问题,显示这是十分繁琐的。比如此时我们需要修改用户的信息,但是我们不知道用户修改了哪些信息时,我们就可以使用if标签。
springboot mybatis oracle插入SQL动态字段和值使用Map实现单条或批量插入
robin_time的博客
05-27 1753
直接看代码 1、mapper层 @Mapper public interface ExcelDataMapper { public void insertExcelData(@Param(&amp;amp;amp;amp;quot;params&amp;amp;amp;amp;quot;)LinkedHashMap&amp;amp;amp;amp;amp;lt;String, Object&amp;amp;amp;amp;amp;gt; linkMap, @
SpringBoot整合Mybatis之动态SQL
weixin_51725434的博客
12-22 1781
foreach标签:批量删除和批量增加 choose标签 动态SQL
SpringBoot+MyBatis的动态SQL、使用动态SQL时List传值错误解决方案
weixin_45063639的博客
02-06 269
动态SQL SpringBoot MyBatis List传值错误 结构化SQL 脚本SQL
springBoot+security+mybatis 实现用户权限数据库动态管理
05-03
在本文中,我们将深入探讨如何使用Spring Boot、Spring Security和MyBatis这三大技术栈来实现用户权限数据库动态管理。这是一个常见的需求,在许多企业级应用中,动态管理用户权限可以提高系统的灵活性和可扩展性...
springboot+maven+beetlsql+shiro项目整合
05-25
总的来说,"springboot+maven+beetlsql+shiro项目整合"提供了一个完整的开发环境,可以帮助开发者快速创建具备基础功能的Web应用。通过熟练掌握这四个技术,开发者不仅可以提高工作效率,还能更好地理解和实践现代...
SpringBoot整合MybatisSQL过滤@Intercepts的实现
08-19
主要介绍了SpringBoot整合MybatisSQL过滤@Intercepts的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用SpringBoot与shiro实现基于数据库的细粒度动态权限管理系统实例.zip
04-07
本实例通过结合SpringBoot框架和Apache Shiro库,实现了这样一个基于数据库动态权限管理系统。下面我们将深入探讨这个系统的关键技术和实现步骤。 首先,**SpringBoot** 是一种轻量级的Java开发框架,它简化了...
springboot权限数据库设计脚本.sql
11-09
springboot权限数据库设计脚本.sql
spring boot(8)-mybatis三种动态sql
weixin_30519071的博客
06-24 860
脚本sql XML配置方式的动态SQL我就不讲了,有兴趣可以自己了解,下面是用<script>的方式把它照搬过来,用注解来实现。适用于xml配置转换到注解配置 @Select("<script>select * from user <if test=\"id !=null \">where id = #{id} </if...
springboot: mybatis动态拼接sql查询条件
pingzhuyan的博客
03-21 1879
看看如何实现(第一种方式), 借助 mybatisPlus 构造。条件也是不同的, 需要复用sql语句。
SpringBoot学习基础一动态SQL
最新发布
qq_63647404的博客
01-25 1765
根据网上学习所得到的一些知识汇总,有兴趣的可以看看
SpringBoot整合MybatisPlus实战动态SQL,java定时器实现原理
m0_65321095的博客
12-20 326
打印结果 也就是说,你传什么值 它会根据你传的值来拼接sql,不传值则不拼接,这种相对来说比较简单,易于理解。 【注意】 下文所有的请求都是通过postman发出的。 include标签 ========================================================================= 一个非常好用的辅助性标签,用于放一些公共的返回结果集,方便其他的查询方法使用,比如在mapper中使用方式如下:username, lastloginTime s.
MyBatis+Springboot 启动到SQL执行全流程
战斧的博客
06-13 8783
本文我们将讲解Mybatis的动态sql是什么,以及从项目启动到sql执行全流程
Springboot 自定义 Mybatis拦截器,实现 动态查询条件SQL自动组装拼接(玩具)
默默不代表沉默
08-17 5397
Springboot 封装整活 Mybatis 动态查询条件SQL自动组装拼接
数据权限作用与操作:注解+AOP+动态SQL
m0_46478235的博客
11-03 1800
数据权限作用与操作:注解+AOP+动态SQL
springboot简单权限管理实现代码
07-11
在上述代码中,您需要创建一个`CustomUserDetails`类来实现`UserDetails`接口,以便保存用户的权限和其他相关信息。 ```java import org.springframework.security.core.GrantedAuthority; import org.spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值