spring boot +mybatis plus实现操作权限注解

已于 2022-03-08 16:30:09 修改
阅读量942 收藏 1
点赞数
分类专栏: 工作分享 文章标签: spring boot java mybatis
于 2022-03-08 16:05:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25332233/article/details/123354945
版权

业务场景

在前后端分离的情况下,设置某个用户是否有某个列表的编辑、删除等功能权限;设置之后,需要将当前人员是否具有该数据的操作权限,返回给前端,由前端控制相关功能按钮展示;

在结合了不同单位的展示数据,以及是否只控制当前单位数据的操作权限之后,需要在代码中,加入比较多的循环和判断,然后再给每条数据设置权限结果值,比较繁琐;目前通过mybatis拦截器实现了一套符合当前业务的注解,不够完善,但是能够比较方便的使用。

实现目标

在查询人员列表数据的时候,通过注解,直接在每一条返回数据的结构中,设置好是否能够编辑canEdit和是否能够删除canDel的权限值,布尔类型(true:有权限 false:无权限)或者是整形(1:有权限 0:无权限),前端直接通过每条数据中的相关权限字段值,控制是否显示操作按钮

功能实现

方案

第一步:在查询列表的SQL返回结果实体类中,添加相关权限控制字段canEdit,canDel和权限注解
第二步:通过mybatis拦截器,拦截到查询列表的结果集,在结果集中,根据权限注解的配置,以及查询到的结果数据,判断是否给对应返回结果数据的canEdit,canDel字段写入权限值

依赖

        <!--数据库 mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.2</version>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-generator</artifactId>
            <version>3.4.1</version>
        </dependency>

注解

/**
 * 操作权限注解
 *
 * @author likm
 * @date 2021/08/06
 */
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE, ElementType.FIELD})
public @interface Operation {
    // authKey,权限值
    String value() default "";

    //权限返回值是否是布尔,默认false
    boolean isBoolean() default false;

    //是否限制控制权限为本单位
    boolean operationCom() default false;

    //设置comId字段名
    String comField() default "comId";
}

获取权限值相关


/**
 * 用户权限查询返回结构
 *
 * @author likm
 */
@Data
public class UserAuth implements Serializable {

    /**
     * 是否所有数据
     */
    private Boolean all;

    /**
     * 是否无权限
     */
    private Boolean none;

    /**
     * 限制的权限值
     */
    private List<Integer> ids;

}

枚举

/**
 * @author likm
 * @date 2021/7/29
 * @description 数据范围权限值相关枚举,模板
 */
public enum DataScopeViewTypeEnum {

    // 不能查看= 0
    //无权限
    VIEW_NONE(0, "无权限"),
    // 查看所有的= 1
    VIEW_ALL(1, "查看所有的"),

    // 查看自己的= 2
    VIEW_ME(2, "查看自己的"),

    // 查看本单位的= 3
    VIEW_COMPANY(3, "查看本单位的"),

    // 查看本单位及其下级单位的= 4
    VIEW_COMPANY_AND_SUB(4, "查看本单位及其下级单位的"),

    ;

    DataScopeViewTypeEnum(Integer code, String name) {
        this.code = code;
        this.name = name;
    }

    private Integer code;

    private String name;

    public Integer getCode() {
        return code;
    }

    public String getName() {
        return name;
    }

    public static DataScopeViewTypeEnum getByValue(Integer value) {
        for (DataScopeViewTypeEnum transactType : values()) {
            if (transactType.getCode().equals(value)) {
                return transactType;
            }
        }
        return null;
    }

}

接口

/**
 * 数据范围权限需要业务层实现的接口
 *
 * @Author likm
 * @Date 2021/6/24
 * @Description //TODO
 * @Version 1.0
 **/
public interface UserAuthInterface {

    /**
     * 查询用户对应权限的限制范围值
     *
     * @param authKey 权限值key
     * @return 用户的权限值
     */
    UserAuth getUserAuth(String authKey);
}

接口实现


/**
 * @Author likm
 * @Date 2021/7/29
 * @Description //TODO
 * @Version 1.0
 **/
@Service
public class UserAuthInterfaceImpl implements UserAuthInterface {
	
    @Autowired
    @Lazy //不知道咋回事,在拦截器中自动注入mapper之后,会出现循环依赖,暂时未找到好的解决方式,只能通过懒加载注解来解决
    private BasicCompanyMapper companyMapper;

    @Override
    public UserAuth getUserAuth(String authKey) {
        UserAuth userAuth = new UserAuth();
        //通过authKey和当前用户userId,获取到authKey对应的权限值data
        //StorageUtils.getCurrentUserId() 的实现逻辑,是请求参数中在header中带上token,然后使用拦截器进行解析之后,将用户信息存放在threadLocal中
        Integer data = basicUserMapper.getAuthDataByKey(StorageUtils.getCurrentUserId(), authKey);
        if (!Objects.isNull(authData)) {
            switch (DataScopeViewTypeEnum.getByValue(data)) {
                case VIEW_NONE:
                    userAuth.setNone(Boolean.TRUE);
                    break;
                case VIEW_ALL:
                    userAuth.setAll(Boolean.TRUE);
                    break;
                case VIEW_COMPANY_AND_SUB:
                    List<BasicCompany> companyList = companyMapper.selectList(new LambdaQueryWrapper<BasicCompany>()
                            .eq(BasicCompany::getPid, StorageUtils.getCurrentUserComId()));
                    List<Integer> comIds = companyList.stream().map(BasicCompany::getId).collect(Collectors.toList());
                    comIds.add(StorageUtils.getCurrentUserComId());
                    userAuth.setIds(comIds);
                    break;
                 case VIEW_COMPANY:
                 default:
                 //StorageUtils.getCurrentUserComId() 获取原理同StorageUtils.getCurrentUserId(),都是存放在threadLocal中的数据 
                    userAuth.setIds(Arrays.asList(StorageUtils.getCurrentUserComId()));
                    break;
            }
        }
        return userAuth;
    }
}

mybatis 拦截器实现


/**
 * @Author likm
 * @Date 2021/9/9
 * @Description //TODO
 * @Version 1.0
 **/
@Intercepts({@Signature(type = ResultSetHandler.class, method = "handleResultSets", args = {Statement.class})})
public class OperationInterceptor implements Interceptor {

    @Autowired
    private UserAuthInterface authInterface;

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        List resList = new ArrayList();
        Object target = invocation.getTarget();
        if (target instanceof DefaultResultSetHandler) {
            DefaultResultSetHandler defaultResultSetHandler = (DefaultResultSetHandler) target;
            MetaObject metaStatementHandler = SystemMetaObject.forObject(defaultResultSetHandler);
            MappedStatement mappedStatement = (MappedStatement) metaStatementHandler.getValue("mappedStatement");
            //获取节点属性的集合
            List<ResultMap> resultMaps = mappedStatement.getResultMaps();
            Class<?> resultType = resultMaps.get(0).getType();
            //获取mybatis返回的实体类类型名
            int resultMapCount = resultMaps.size();
            if (resultMapCount > 0) {
                Statement statement = (Statement) invocation.getArgs()[0];
                ResultSet resultSet = statement.getResultSet();
                //获取表头注解,如果没有,则直接返回
                if (!resultType.isAnnotationPresent(Operation.class)) {
                    //注解为null,原数据返回
                    return invocation.proceed();
                }
                if (resultSet != null) {
                    //获得对应列名
                    ResultSetMetaData rsmd = resultSet.getMetaData();
                    Map<String, String> columnMap = new HashMap<>();
                    for (int i = 1; i <= rsmd.getColumnCount(); i++) {
                        //用于比较的字段名,变成驼峰
                        String column = rsmd.getColumnLabel(i);
                        columnMap.put(HumpLineUtil.lineToHump(column), column);
                    }
                    Set<String> columnList = columnMap.keySet();
                    //根据实体类名称,获取authKey,查询data值,然后字段对应的值
                    Map<String, Object> operations = getOperations(resultType);
                    //字段数组
                    Field[] fields = resultType.getDeclaredFields();
                    while (resultSet.next()) {
                        LinkedHashMap<String, Object> resultMap = new LinkedHashMap<>();
                        for (Field field : fields) {
                            String colName = field.getName();
                            Operation operation = field.getAnnotation(Operation.class);
                            if (columnList.contains(colName)) {
                                resultMap.put(colName, resultSet.getString(columnMap.get(colName)));
                            }
                            if (operations.containsKey(colName)) {
                                //将需要注解了的字段值,设置为权限值
                                if (operation.operationCom() && columnList.contains(operation.comField())) {
                                    Integer comId = resultSet.getInt(columnMap.get(operation.comField()));
                                    if (Objects.equals(comId, StorageUtils.getCurrentUserComId())) {
                                        //判断是否限制为当前单位数据
                                        resultMap.put(colName, operations.get(colName));
                                    } else {
                                        resultMap.put(colName, operation.isBoolean() ? Boolean.FALSE : 0);
                                    }
                                } else {
                                    resultMap.put(colName, operations.get(colName));
                                }
                            }
                        }
                        Object o = resultType.newInstance();

                        ConvertUtilsBean convertUtils = BeanUtilsBean
                                .getInstance()
                                .getConvertUtils();
                        //设置,预防bigDecimal类型数据为null导致报错
                        convertUtils.register(false, false, 0);
                        //设置,预防Integer类型数据为null时自动转换为0;
                        convertUtils.register(new IntegerConverter(null), Integer.class);
                        //设置,预防BigDecimal类型数据为null时自动转换为0;
                        convertUtils.register(new BigDecimalConverter(null), BigDecimal.class);
                        BeanUtils.populate(o, resultMap);
                        resList.add(o);

                    }
                    return resList;
                }
            }
        }
        return invocation.proceed();
    }


    private Map<String, Object> getOperations(Class<?> resultType) {
        Map<String, Object> operations = new HashMap<>();
        Field[] fields = resultType.getDeclaredFields();
        Map<String, UserAuth> authData = new HashMap<>();

        for (Field field : fields) {
            if (field.isAnnotationPresent(Operation.class)) {
                Operation operation = field.getAnnotation(Operation.class);
                String authKey = operation.value();
                if (Objects.equals(authKey, "")) {
                    continue;
                }
                UserAuth auth;
                //先从map中获取值,避免当前
                if (authData.containsKey(authKey)) {
                    auth = authData.get(authKey);
                } else {
                    //根据authKey,查询对应data值
                    auth = authInterface.getUserAuth(authKey);
                    authData.put(authKey, auth);
                }
                Object value = null;
                if (!Objects.isNull(auth.getAll()) && auth.getAll()) {
                    if (operation.isBoolean()) {
                        value = Boolean.TRUE;
                    } else {
                        value = DataScopeViewTypeEnum.VIEW_ALL.getCode();
                    }
                }
                if (!Objects.isNull(auth.getNone()) && auth.getNone()) {
                    if (operation.isBoolean()) {
                        value = Boolean.FALSE;
                    } else {
                        value = DataScopeViewTypeEnum.VIEW_NONE.getCode();
                    }
                }
                if (!Objects.isNull(value)) {
                    operations.put(field.getName(), value);
                } else {
                    operations.put(field.getName(), operation.isBoolean() ? false : 0);
                }
            }
        }
        return operations;
    }

    /**
     * //主要是为了把这个拦截器生成一个代理放到拦截器链中
     * ^Description包装目标对象 为目标对象创建代理对象
     *
     * @Param target为要拦截的对象
     * @Return代理对象
     */
    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {
    }
}

注入拦截器

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    /**
     * 操作权限拦截器
     */
    @Bean
    public OperationInterceptor operationInterceptor() {
        return new OperationInterceptor();
    }
}

使用方式

数据范围权限的使用方式,是在mapper中使用@DataScope注解,在注解中,设置当前sql,所相关权限的authKey值,以及数据范围权限,所限制的表名

@Data
@Operation//这里的注解,控制是否解析当前类,
public class PersonnelVO implements Serializable {

    /**
     * 主键,自增
     */
    private Integer id;

    /**
     * 用户id
     */
    private Integer uid;
    /**
    * Operation注解,value值是控制该权限的authKey,
    * operationCom 表示是否控制为当前单位,
    * comField 是返回单位id的字段名
    * 返回值,根据传入的isBoolean值,返回Integer或者是Boolean
    */
    @Operation(value = "user_list_manage_del", operationCom = true)
    private Integer canDel;

    @Operation(value = "user_list_manage_edit", isBoolean = true)
    private Boolean canEdit;
}

查询

和一般的查询一样,不用做任何修改

@Repository
public interface BasicUserMapper extends BaseMapper<BasicUser> {

    List<BasicUser> getList(Page page, Params param);
}

实现效果

不同的列,操作按钮不一样。
其他的rest接口等相关逻辑,就不一一写出来了
不同的列,操作按钮不一样

生活丶好难!
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot】94、SpringBoot中使用MyBatis-Plus实现数据权限管理
Asurplus
06-13 244
数据权限是指在特定场景下,对数据的访问、使用、共享等操作权限。它涉及到系统用户能看到哪些范围内的数据,以及这些用户如何操作这些数据
基于springboot+注解+mybatis拦截器的数据权限控制
测试账号-001的博客
01-07 1540
基于springboot+注解+mybatis拦截器的权限控制
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
Spring Boot + Mybatis Plus 拦截器实现数据权限
Jason
07-26 1423
实现InnerInterceptor,重写beforeQuery方法,表示在查询前执行,可以在这里拼接查询条件,还有个方法beforeUpdate,表示在更新前执行,暂时用不上。需求是需要根据公司id做数据权限,那么可以利用Mybatis的拦截器在新增和查询的时候进行干预,在新增的时候将上下文中的公司id丢进去,在查询的时候增加查询条件。注解指定字段在哪个时机,比如这个是在INSERT。...
springboot注解 + mybatisplus拦截器实现数据权限拦截(兼容分页插件)
qq_42795049的博客
03-13 8039
需求 要求在同一个数据请求方法中,根据不同的权限返回不同的数据集,而且无需并且不能由研发编码控制。 设计思路 竟然要实现查询语句与权限解耦,第一想法联想到的就是AOP,拦截所有的底层sql,加入过滤条件。 1、在数据库中新建一张权限表,记录权限点以及其对应的sql 2、编写一个自定义注解,在需要被拦截的mapper方法上标记并指定其权限过滤方式。 3、利用mybatis拦截器(插件)拦截mapper方法的sql,并根据对应的权限点对原有的sql进行修改。 代码部分 数据库设计 权限表sql @Tabl
基于Mybatis-Plus的数据权限框架
chenahong0201的博客
12-13 2312
近期开发使用的框架基本上都是springboot + Mybatis-plus 方便,快速。而且差不多都是单表查询,很少使用关联表。经常会遇到需要做数据权限过滤的查询,每次都要写SQL,然后使用in的方式。非常麻烦。所以研究了一下Mybatis-plus的进阶使用。可以通过自定义SQL解析器,自定义SQL内容。使用该方式 + 切面 的方式,实现自动添加数据权限的过滤方式。注:我自己的工程的权限框架为shiro,可以通过修改,配置适配自己框架如果有额外的自定义SQL,则可以添加。/**
spring-boot集成mybatis-plus实现数据权限控制
qq_32518481的博客
04-06 5649
本文章记录使用spring-boot结合mybatis实现简单的数据权限控制,前端逻辑不做概述,主要实现逻辑是使用mybatis自带的方法获取执行的SQL,然后根据存储的数据权限方案拼接where条件,最后拼接到待执行的SQL后面实现数据权限过滤。 本文章涉及知识:spring注解、AOP、mybatis-plus 项目结构 依赖 <!-- mybatis-plus begin --> <dependency> <groupI.
MybatisPlus拦截器+注解实现数据权限
黄大仙儿的专栏
10-27 1555
原本是想在拦截器里通过方法名直接获取注解,但是分页用的是PageHelper插件,导致分页会封装一个_COUNT方法查询数量,这个方法就获取不到注解,会导致分页total数量没有做数据权限。不知道MybatisPlus自己的分页方法有没有这个问题。所以只能增加切面用ThreadLocal来存储注解数据。拼接数据权限方法中也有对计算数量sql可能会形成子查询别名为table_count做处理。最好放在Mapper下,以免Service/Controller里有不需要增加数据权限的查询出现问题。
Springboot管理系统数据权限过滤(四)——mybatis数据权限插件
最新发布
朗朗的博客
01-02 1149
Springboot管理系统数据权限过滤(三)——0业务入侵实现部门数据权限过滤数据权限实现的思路和代码实现已经了解。本节在此基础上实现支持mybatis框架的通用数据过滤插件。 实现目标:上一章示例,使用的是mytatisplus数据持久框架,使用是的mybatisplus拦截器,本章是基于mybatis持久化框,所以仅拦截器实现上有一点点差异,但我们也是可以引入mybatisplus的依赖包,但仅使用它的对SQL的处理上,这样可以省很多事。除了这一点,其他的代码都可以沿用上一章的内容。该项目初衷
Mybatis-Plus入门系列(18) -基于注解的动态数据权限实现方案
记录知识、锤炼自我
11-09 6231
数据权限简介 前言 一般的系统都离不开权限模块,它是支撑整个系统运行的基础模块。而根据项目类型和需求的不同,权限模块的设计更是大相径庭。但不管怎么变,权限模块从大的方面来说,可以分为三种大的类型:功能权限、接口权限数据权限。 功能权限:也就是我们最熟悉的菜单、按钮权限。可以配置各个角色能看到的菜单、按钮从而从最表层分配好权限 接口权限:顾名思义,配置不通角色调用接口的权限。有些敏感接口,是只能有固定的一些角色才能调用,普通角色是不能调用的。这种情况需要有一个明确的系统来控制对应的访问权限 数据权限:是大家
spring boot+mybatis plus+easy poi实现数据库导出成excel和excel导入到数据库.zip
11-22
在本项目中,"spring boot+mybatis plus+easy poi实现数据库导出成excel和excel导入到数据库",开发者利用了Spring BootMyBatis Plus和EasyPoi库来实现了一个功能强大的数据交互系统,允许用户将数据库中的数据...
Spring Boot + Mybatis 实现动态数据源案例分析
08-26
Spring Boot + Mybatis 实现动态数据源案例分析 动态数据源是指在应用程序中根据实际情况动态切换数据源的能力,这个功能在很多具体应用场景中都是非常有用的。例如,在多租户的场景中,系统登录时需要根据用户信息...
Spring MVC + Mybatis+Spring实现的个人博客系统
06-05
这是一个基于Spring MVC、MybatisSpring框架实现的个人博客系统,涵盖了Web开发中的后端架构设计、数据库管理和前端展示等多个方面。以下将详细介绍这个系统的关键知识点: **1. Spring MVC** Spring MVC是Spring...
Spring Boot + Security + MyBatis Plus+Mysql低代码快速开发平台
06-27
结合Spring Boot、Security和MyBatis Plus,可以构建一个高度可定制化的后台管理系统,实现用户管理、权限控制、数据操作等功能。 在这个特定的开发平台中,Spring Boot作为基础框架,提供微服务化的能力和自动配置...
通过Spring Boot + Mybatis + Redis快速搭建现代化Web项目
08-28
Spring Boot项目中,我们可以利用Spring Boot的自动配置特性,结合Redis实现Mybatis的二级缓存。 【Redis】 Redis是一个开源的、支持网络的、内存中的数据结构存储系统,可以用作数据库、缓存和消息中间件。它的...
Mybatis-Plus通过注解形式实现数据权限过滤
u011584350的博客
07-21 9900
背景 本文借鉴若依快速开发框架的数据权限思路,通过注解形式实现数据权限过滤,优点是灵活方便。 代码 创建注解类 @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface DataScope { /** * 部门表的别名 */ public String deptAlias() default ""; /** * 部门字段名
springboot自定义注解+mybatis拦截器-数据权限设计
qq_24473507的博客
08-31 3023
针对部分业务功能数据需要实现数据权限控制,数据关系比较复杂,有多表关联查询的场景,查阅一番资料,使用Mybatis拦截器--Interceptor,通过实现Interceptor接口,结合自定义注解实现数据权限控制。............
SpringBoot整合Mybatis-Plus注解
tmax52HZ的博客
07-25 488
SpringBoot整合Mybatis-Plus一.参考springboot整个mybatisspringboot整合mybatis 内含:相应的maven依赖、数据库连接、实体类、数据库表等等二.pom.xml三.application.properties内容依次为: mapper.xml位置 打印sql语句 驼峰启用 主键id,采用自增四.实体类@tableName:实体类对应的表名五.controller、service、mapper六.测试 一.参考springboot整个mybatis spri
Mybatis拦截器之数据权限过滤与分页集成
weixin_30387799的博客
10-19 512
解决方案之改SQL 原sql SELECT a.id AS "id", a.NAME AS "name", a.sex_cd AS "sexCd", a.org_id AS "orgId", a.STATUS AS "status", a.create_org_id AS "createOrgId" FROM pty_person a WHERE ...
基于 spring boot + mybatis plus + vue & element 实现的后台管理系统 + 微信小
06-30
在基于这些技术的开发过程中,可以将后端的数据处理和业务逻辑实现放在Spring Boot中,使用MyBatis Plus进行数据操作。前端使用Vue构建用户界面,并通过异步请求与后端进行数据交互。通过这种方式,可以实现一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值