spring boot + mybatis-plus 实现数据范围权限

最新推荐文章于 2024-08-13 09:58:53 发布
最新推荐文章于 2024-08-13 09:58:53 发布
阅读量4.8k 收藏 44
点赞数 8
分类专栏: 工作分享 文章标签: spring boot java mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25332233/article/details/120129989
版权

spring boot + mybatis-plus 实现数据范围权限

公司的业务场景,经常会遇到,限制用户查询数据范围场景,在整理需求,查找资料之后,实现了通过注解+mybatis拦截器,在sql中动态添加权限字段及值的功能。使用的时候方便简单,so,总结一下,写出来以供参考。(公司业务要更复杂一点,当前写的是简化后的,不过原理是一样的)

数据库结构(简化)

用户表:

CREATE TABLE `t_basic_user` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `com_id` int(10) unsigned DEFAULT '0' COMMENT '创建公司id',
  `name` varchar(15) NOT NULL DEFAULT '' COMMENT '人员姓名',
  `account` varchar(11) NOT NULL DEFAULT '' COMMENT '人员账号',
  `pwd` char(64) NOT NULL DEFAULT '' COMMENT '人员密码',
  `dept_id` int(10) unsigned DEFAULT '0' COMMENT '人员部门id',
  `role_id` int(10) unsigned DEFAULT '0' COMMENT '人员角色id',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=10606 DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC COMMENT='人员表';

公司表:

CREATE TABLE `t_basic_company` (
  `id` int(10) unsigned NOT NULL DEFAULT '0',
  `root_id` int(10) unsigned NOT NULL DEFAULT '0' COMMENT '顶级公司id',
  `pid` int(10) unsigned NOT NULL DEFAULT '0' COMMENT '上级公司id',
  `name` varchar(15) NOT NULL DEFAULT '' COMMENT '公司名称',
  `level_num` tinyint(1) unsigned NOT NULL DEFAULT '1' COMMENT '公司层级'
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC COMMENT='公司表';

角色表:

CREATE TABLE `t_basic_role_auth` (
  `id` int(20) unsigned NOT NULL AUTO_INCREMENT,
  `uid` int(10) unsigned NOT NULL DEFAULT '0' COMMENT '创建人id',
  `role_id` int(20) unsigned NOT NULL DEFAULT '0' COMMENT '人员角色id',
  `auth` varchar(50) NOT NULL DEFAULT '' COMMENT '权限key',
  `data` tinyint(1) unsigned DEFAULT '0' COMMENT '权限value',
  PRIMARY KEY (`id`) USING BTREE,
  KEY `com_id` (`com_id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=67681 DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC;

业务场景

根据登录用户的id,所属部门id,所属单位id,结合当前登录用户的角色权限,决定当前用户能够查看到哪些数据。
例如:用户数据查看权限,权限的auth_key设置为user_list_view,每个角色所对应的角色表中的data,表示不同的数据范围。大致分为以下几种:
1:本单位
2:本单位及下级单位
3:无权限
4:所有数据

需要在访问用户信息列表的时候,根据当前角色在用户信息这个功能的权限下,所对应的data值,返回数据列表。达到不同角色,返回不同范围数据的目的。

数据范围权限的实现思路

1.使用注解,在mapper中将对应的authkey写入,并且标识清楚权限所限制的数据库表名,及字段名。(例:用户信息权限中,需要根据用户的com_id来限制数据,就需要表示清楚数据库名-t_basic_user,字段名-com_id)
2.在拦截器中,获取到当前用户id;根据注解,获取到对应的authkey,;然后再用这两个信息,到角色表中,获取到具体的data值
3.根据data值,设置权限的具体值;如果是本单位权限,则设置com_id 等于当前用户的公司id,如果是本单位及下级单位权限,则设置com_id在本单位及下级单位的公司列表中。
4.根据注解中定义的需要限制的表名和字段名,将限制条件,添加在sql后面

功能实现

依赖

        <!--数据库 mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.2</version>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-generator</artifactId>
            <version>3.4.1</version>
        </dependency>

注解

/**
 * @author likm
 * 数据范围注解
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface DataScope {
    /**
     * 当前功能的authKey,根据authKey去查询当前用户的具体权限值
     */
    String authKey() default "";

    /**
     * 需要加数据权限范围的表别名,单位权限
     */
    String comTableName() default "com";

    String comFieldName() default "com_id";
}

获取权限值相关


/**
 * 用户权限查询返回结构
 *
 * @author likm
 */
@Data
public class UserAuth implements Serializable {

    /**
     * 是否所有数据
     */
    private Boolean all;

    /**
     * 是否无权限
     */
    private Boolean none;

    /**
     * 限制的权限值
     */
    private List<Integer> ids;

}

枚举

/**
 * @author likm
 * @date 2021/7/29
 * @description 数据范围权限值相关枚举,模板
 */
public enum DataScopeViewTypeEnum {

    // 不能查看= 0
    //无权限
    VIEW_NONE(0, "无权限"),
    // 查看所有的= 1
    VIEW_ALL(1, "查看所有的"),

    // 查看自己的= 2
    VIEW_ME(2, "查看自己的"),

    // 查看本单位的= 3
    VIEW_COMPANY(3, "查看本单位的"),

    // 查看本单位及其下级单位的= 4
    VIEW_COMPANY_AND_SUB(4, "查看本单位及其下级单位的"),

    ;

    DataScopeViewTypeEnum(Integer code, String name) {
        this.code = code;
        this.name = name;
    }

    private Integer code;

    private String name;

    public Integer getCode() {
        return code;
    }

    public String getName() {
        return name;
    }

    public static DataScopeViewTypeEnum getByValue(Integer value) {
        for (DataScopeViewTypeEnum transactType : values()) {
            if (transactType.getCode().equals(value)) {
                return transactType;
            }
        }
        return null;
    }

}

接口

/**
 * 数据范围权限需要业务层实现的接口
 *
 * @Author likm
 * @Date 2021/6/24
 * @Description //TODO
 * @Version 1.0
 **/
public interface UserAuthInterface {

    /**
     * 查询用户对应权限的限制范围值
     *
     * @param authKey 权限值key
     * @return 用户的权限值
     */
    UserAuth getUserAuth(String authKey);
}

接口实现


/**
 * @Author likm
 * @Date 2021/7/29
 * @Description //TODO
 * @Version 1.0
 **/
@Service
public class UserAuthInterfaceImpl implements UserAuthInterface {
	
    @Autowired
    @Lazy //不知道咋回事,在拦截器中自动注入mapper之后,会出现循环依赖,暂时未找到好的解决方式,只能通过懒加载注解来解决
    private BasicCompanyMapper companyMapper;

    @Override
    public UserAuth getUserAuth(String authKey) {
        UserAuth userAuth = new UserAuth();
        //通过authKey和当前用户userId,获取到authKey对应的权限值data
        //StorageUtils.getCurrentUserId() 的实现逻辑,是请求参数中在header中带上token,然后使用拦截器进行解析之后,将用户信息存放在threadLocal中
        Integer data = basicUserMapper.getAuthDataByKey(StorageUtils.getCurrentUserId(), authKey);
        if (!Objects.isNull(authData)) {
            switch (DataScopeViewTypeEnum.getByValue(data)) {
                case VIEW_NONE:
                    userAuth.setNone(Boolean.TRUE);
                    break;
                case VIEW_ALL:
                    userAuth.setAll(Boolean.TRUE);
                    break;
                case VIEW_COMPANY_AND_SUB:
                    List<BasicCompany> companyList = companyMapper.selectList(new LambdaQueryWrapper<BasicCompany>()
                            .eq(BasicCompany::getPid, StorageUtils.getCurrentUserComId()));
                    List<Integer> comIds = companyList.stream().map(BasicCompany::getId).collect(Collectors.toList());
                    comIds.add(StorageUtils.getCurrentUserComId());
                    userAuth.setIds(comIds);
                    break;
                 case VIEW_COMPANY:
                 default:
                 //StorageUtils.getCurrentUserComId() 获取原理同StorageUtils.getCurrentUserId(),都是存放在threadLocal中的数据 
                    userAuth.setIds(Arrays.asList(StorageUtils.getCurrentUserComId()));
                    break;
            }
        }
        return userAuth;
    }
}

mybatis 拦截器实现

/**
 * @Author likm
 * @Date 2021/7/12
 * @Description //数据范围权限拦截器,配合@DataScope注解使用
 * @Version 1.0
 **/
public class DataScopeInnerInterceptor implements InnerInterceptor {

    @Autowired
    private UserAuthInterface authInterface;


    @SneakyThrows
    @Override
    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) {

        //获取执行方法的位置
        String namespace = ms.getId();
        //获取mapper名称
        String className = namespace.substring(0, namespace.lastIndexOf("."));
        //获取方法名
        String methodName = namespace.substring(namespace.lastIndexOf(".") + 1);
        //获取当前mapper 的方法
        Method[] methods = Class.forName(className).getMethods();
        for (Method m : methods) {
            if (Objects.equals(m.getName(), methodName)) {
                //获取注解  来判断是不是要处理sql
                DataScope dataScope = m.getAnnotation(DataScope.class);
                if (Objects.isNull(dataScope) || Objects.equals("", dataScope.authKey())) {
                    //没有数据权限相关枚举,直接跳过
                    continue;
                }
                UserAuth auth = authInterface.getUserAuth(dataScope.authKey());
                //去除特殊字符
                String originalSql = boundSql.getSql().replaceAll("\r|\n|`", "");
                if (!Objects.isNull(auth)) {
                    //根据用户权限拼接sql
                    String newSql = getInExpressionByAuth(auth, dataScope, originalSql);
                    //通过反射修改sql语句
                    Field field = boundSql.getClass().getDeclaredField("sql");
                    field.setAccessible(true);
                    field.set(boundSql, newSql);
                }
            }
        }
    }


    /**
     * 根据权限,拼接SQL
     */
    public static String getInExpressionByAuth(UserAuth auth, DataScope dataScope, String sql) {

        //如果是admin账户,直接返回null,不修改原sql
        if (!Objects.isNull(auth.getAll()) && auth.getAll()) {
            return null;
        }
        //如果是无权限,拼接1=2
        if (!Objects.isNull(auth.getNone()) && auth.getNone()) {
            return addWhereCondition(sql, "1=2");
        }
         return addWhereCondition(sql, getCondition(dataScope.comTableName(), dataScope.comFieldName(), auth.getIds()));
    }

    /**
     * 生成where 条件字符串
     *
     * @param tableName 表名
     * @param fieldName 字段名
     * @param ids       值
     * @return
     */
    private static String getCondition(String tableName, String fieldName, List<Integer> ids) {
        return tableName + "." + fieldName + " in (" + StringUtils.join(ids, ",") + ")";
    }

    /**
     * 在原有的sql中增加新的where条件
     *
     * @param sql       原sql
     * @param condition 新的and条件
     * @return 新的sql
     */
    public static String addWhereCondition(String sql, String condition) {
        try {
            Select select = (Select) CCJSqlParserUtil.parse(sql);
            PlainSelect plainSelect = (PlainSelect) select.getSelectBody();
            final Expression expression = plainSelect.getWhere();
            final Expression envCondition = CCJSqlParserUtil.parseCondExpression(condition);
            if (Objects.isNull(expression)) {
                plainSelect.setWhere(envCondition);
            } else {
                AndExpression andExpression = new AndExpression(expression, envCondition);
                plainSelect.setWhere(andExpression);
            }
            return plainSelect.toString();
        } catch (JSQLParserException e) {
            throw new RuntimeException(e);
        }
    }
}

配置拦截器

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    /**
     * 由于拦截器先于spring context注入,所以在拦截器中无法自动注入接口,
     * 需要先在此处将拦截器注入
     */
    @Bean
    public DataScopeInnerInterceptor dataScopeInnerInterceptor() {
        return new DataScopeInnerInterceptor();
    }

    /**
     * mybatis拦截器注入,
     * 可以将其他自定义拦截器从这里注入,方便在分页之前执行
     *
     * @return
     */
    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor() {
        System.out.println("注入userAuthInterface");
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        interceptor.addInnerInterceptor(dataScopeInnerInterceptor());
        interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));
        return interceptor;
    }
}

使用方式

数据范围权限的使用方式,是在mapper中使用@DataScope注解,在注解中,设置当前sql,所相关权限的authKey值,以及数据范围权限,所限制的表名

    @DataScope(authKey = AuthKeyConstant.ILLEGAL_BUILD_DAYLIY_INSPECT_VIEW, comTableName = "u")
    Page<IllegalBuildingPatrolVO> getList(Page page, @Param("dto") IllegalBuildingPatrolDTO dto);

最终sql样式如下:
1.本单位

SELECT
	p.*,
	u.name userName 
FROM
	t_illegal_building_patrol p
	LEFT JOIN t_basic_user u ON u.id = p.create_uid 
WHERE
	p.is_del = 0 
	AND u.com_id IN ( 1 ) 
ORDER BY
	p.id DESC

2.本单位及下级单位

SELECT
	p.*,
	u.name userName 
FROM
	t_illegal_building_patrol p
	LEFT JOIN t_basic_user u ON u.id = p.create_uid 
WHERE
	p.is_del = 0 
	AND u.com_id IN ( 1, 2, 3 ) 
ORDER BY
	p.id DESC

以上,数据权限功能就完成了,本身我们公司的业务还涉及到部门权限、人员权限等相关限制,逻辑更复杂一些。不过基本逻辑一致

参考:
[1]: https://blog.csdn.net/sundasheng44/article/details/108118094

生活丶好难!
关注
专栏目录
SpringBoot】94、SpringBoot中使用MyBatis-Plus实现数据权限管理
Asurplus
06-13 404
数据权限是指在特定场景下,对数据的访问、使用、共享等操作的权限。它涉及到系统用户能看到哪些范围内的数据,以及这些用户如何操作这些数据
Spring Boot 集成 Sharding-JDBC + Mybatis-Plus 实现分库分表功能
09-07
通过Spring Boot集成Sharding-JDBC和Mybatis-Plus,我们可以轻松地实现数据库的分库分表,从而提升系统的数据处理能力和扩展性。同时,Mybatis-Plus提供的便捷操作使得数据库访问更加高效。在实际开发中,还需要注意...
基于Mybatis-Plus实现数据权限
搬砖爱好者.的博客
02-11 4384
数据权限是指对系统用户进行数据资源可见性的控制。实现不同角色登录系统所展示的操作数据范围不一样,达到角色角色、用户与用户之间数据的隔离。
数据权限的设计与实现系列3——MybatisPlus数据权限插件实现机制及使用示例
最新发布
学海无涯,行者无疆
08-13 1206
本文介绍了MybatisPlus的数据权限插件的机制和使用,并通过一个具体示例补全了关键环节数据权限控制逻辑的实现。 与上篇若依开发平台对比,主要区别在于技术实现方式不同。 若依开发平台是自行拼接SQL片段,MybatisPlus的数据权限插件是基于拦截器机制,在执行SQL前解析和修改SQL。 但对于数据权限的控制维度和实现思路,都是一致的,基于部门维度,控制点放在角色上,因此角色爆炸问题和权限扩大问题,也都存在。
mybatis-plus数据权限实现
qq_43320893的博客
02-18 6090
通过Mybatis-Plus实现自定义数据权限的插件
MybatisPlus实现数据权限
MichaelZ的博客
03-17 4386
MybatisPlus 是一款 Mybatis 的增强工具,它为 Mybatis 提供了丰富的查询接口,大大简化了数据库操作。MybatisPlus 具备代码生成器,支持一键生成 Entity、Mapper、Mapper XML、Service、Controller 等文件,有效提高开发效率。此外,MybatisPlus 还提供了分页插件、性能分析插件等,能够帮助开发者更好地优化数据库操作。
基于Mybatis-Plus数据权限框架
chenahong0201的博客
12-13 2400
近期开发使用的框架基本上都是springboot + Mybatis-plus 方便,快速。而且差不多都是单表查询,很少使用关联表。经常会遇到需要做数据权限过滤的查询,每次都要写SQL,然后使用in的方式。非常麻烦。所以研究了一下Mybatis-plus的进阶使用。可以通过自定义SQL解析器,自定义SQL内容。使用该方式 + 切面 的方式,实现自动添加数据权限的过滤方式。注:我自己的工程的权限框架为shiro,可以通过修改,配置适配自己框架如果有额外的自定义SQL,则可以添加。/**
MyBatis Plus 拦截器实现数据权限控制(完整版)
progammer10086的博客
06-09 6381
新增针对不需要做数据权限控制的注解
spring boot整合mybatis+mybatis-plus的示例代码
08-28
Spring Boot 整合 MyBatis+MyBatis-Plus 示例代码 在本文中,我们将介绍如何将 Spring BootMyBatisMyBatis-Plus 进行整合。MyBatis 是一个流行的持久层框架,而 MyBatis-Plus 是一个基于 MyBatis 的增强...
Spring Boot+Mybatis-Plus+Thymeleaf+Bootstrap分页页查询(前后端都有).zip
05-08
在本项目中,我们结合了Spring BootMybatis-Plus、Thymeleaf以及Bootstrap来实现一个具有分页查询功能的Web应用。首先,让我们详细探讨每个技术在项目中的作用和实现方式。 **Spring Boot** Spring BootSpring...
SpringBoot + mybatis-plus + druid 实现mySql与Orcl双数据
01-12
public class MybatisPlusConfig { @Autowired @Qualifier("primaryDataSource") private DataSource primaryDataSource; @Autowired @Qualifier("secondaryDataSource") private DataSource ...
外卖点餐系统,后端:springboot+mybatis+mybatis-plus 前端:vue+elmen
05-08
后端使用Spring BootMyBatis作为开发框架,而前端使用Vue和ElementUI作为开发工具。 后端开发框架 后端使用Spring Boot作为开发框架,Spring Boot是一个轻量级的框架,易于学习和使用,可以快速搭建项目。它提供...
MybatisPlus数据权限
qq_34533703的博客
07-13 3873
数据权限设计
关于用户、角色数据范围的一种设计方法
一个胖子IT男的博客
02-15 2708
实际开发中,遇到这样一种情况: 某一类用户,有特定的角色,用户和数据范围的具体对应关系存在于不同表当中。例如: 存在用户A,用户B。 用户A拥有角色A,可以管理某些大区、某些地区、某些部门。 用户B拥有角色B,可以管理某些地区、某些地区分公司、某些部门。其中管理的范围是固定的,有大区、地区、地区分公司、部门。 每种用户可以管理其中的几种。其中的表有: 1.区域表,包含大区和地区关系。
基于mybatis-plus数据权限控制方案
李凯伦的博客
02-07 6703
以不侵入业务代码的方式实现数据权限控制,且能控制任意字段。
【学习】若依源码(前后端分离版)之 “ 用户管理根据不同角色、部门显示数据范围
qq_44386537的博客
08-05 4371
起因是我想做一个根据不同角色以及其所在的部门展示其相应的信息,只能展示自己部门的信息。后面发现若伊竟然自带了这个功能,不得不说真的强大。它自带了用户管理菜单,里面有角色、部门、用户的模块,其中每个模块又互相有着关系。这篇文章就来好好了解一下他是怎么实现这个功能的。
spring-boot集成mybatis-plus实现数据权限控制
qq_32518481的博客
04-06 5733
本文章记录使用spring-boot结合mybatis实现简单的数据权限控制,前端逻辑不做概述,主要实现逻辑是使用mybatis自带的方法获取执行的SQL,然后根据存储的数据权限方案拼接where条件,最后拼接到待执行的SQL后面实现数据权限过滤。 本文章涉及知识:spring注解、AOP、mybatis-plus 项目结构 依赖 <!-- mybatis-plus begin --> <dependency> <groupI.
MyBatis Plus数据权限控制实现的三种方式
Lee_SmallNorth的博客
05-09 604
数据权限控制时,希望是全局的,比如每个sql都根据当前登录人查询,因此希望每个sql都在最后拼接 “create_user = ‘admin’”注意:每张表都必须保证create_user 的字段存在,否则要重写ignoreTable方法。
MyBatis-Plus数据权限插件使用
Charge8的博客
05-22 3100
MyBatis-Plus数据权限插件使用
基于Spring boot + Mybatis-Plus+Thymeleaf+Bootstrap 留言板
05-03
好的,以下是基于 Spring BootMyBatis-Plus、Thymeleaf 和 Bootstrap 的留言板的实现步骤: 1. 创建 Spring Boot 项目 在 IDEA 中创建一个 Spring Boot 项目,选择 Web 和 Thymeleaf 作为依赖。 2. 添加 MyBatis-Plus 依赖 在 pom.xml 文件中添加 MyBatis-Plus 依赖: ```xml <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>3.4.0</version> </dependency> ``` 3. 创建留言板数据表 在 MySQL 中创建一个名为 message_board 的数据表,包含以下字段: ```sql CREATE TABLE `message_board` ( `id` bigint(20) NOT NULL AUTO_INCREMENT, `name` varchar(50) NOT NULL COMMENT '留言人姓名', `email` varchar(50) NOT NULL COMMENT '留言人邮箱', `content` varchar(255) NOT NULL COMMENT '留言内容', `create_time` datetime NOT NULL COMMENT '创建时间', PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='留言板'; ``` 4. 创建 MyBatis-Plus 实体类和 Mapper 使用 MyBatis-Plus 的代码生成器,生成 Message 实体类和 MessageMapper 接口。 5. 编写 Service 层 创建 MessageService 接口和 MessageServiceImpl 实现类,其中 MessageServiceImpl 实现类注入 MessageMapper,实现增删改查等方法。 6. 编写 Controller 层 创建 MessageController 类,其中注入 MessageService,实现留言板的展示、添加留言和删除留言等功能。 7. 编写 Thymeleaf 页面 在 templates 目录下创建 message.html 页面,使用 Thymeleaf 和 Bootstrap 实现留言板的展示和添加留言的表单。 8. 运行项目 使用 IDEA 运行项目,在浏览器中访问 http://localhost:8080/message 即可看到留言板页面。 以上就是基于 Spring BootMyBatis-Plus、Thymeleaf 和 Bootstrap 的留言板的实现步骤,你可以参考这些步骤来实现自己的留言板。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值