数据权限 基于mybatis plus插件

已于 2022-04-27 10:58:59 修改
阅读量2k 收藏 3
点赞数
分类专栏: 框架 文章标签: mybatis plus java 数据权限
于 2022-04-26 21:58:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31854267/article/details/124438388
版权

数据权限 基于mybatis plus插件

方案

关键:表create_by字段,需要做数据权限的某张表,根据当前登录用户的数据权限(例如ALL、ME、CUR_DEPT、CUR_DEPT_WITH_SUB_DEPT、CUSTOM)获取部门——>用户id,然后查询某张表时附加条件and create_by in [userIds]

说明

1、mp 拦截器中注入mapper,需要使用@Lazy懒加载,否则出现循环引用
2、mp数据权限拦截器可能与分页拦截器发生冲突(比如pagehelper),一是使用mp自己的inner pageinterceptor,二是通过重写sql,即在InExpression的right上附加sql(而不是通过mapper查询获取结果,然后作为右侧表达式)
3、补充2,解决插件冲突,例如pagehelper会针对第一条sql进行分页,如果在数据权限拦截器里使用mapper,结果可想而知,暂时没找到解决方案,也没测试mp自己的分页插件效果(预估这个插件是可以实现效果的——拦截器插入顺序先数据权限后分页即可,但是由于需求的项目mapper啥的比较杂,就不考虑继续测试效果了)

sql

create table ds_dept (
    id bigint(20) not null auto_increment,
    parent_id bigint(20) default 0,
    ancestor varchar(120) default '0',
    name varchar(40) not null,

    create_by bigint(20),
    update_by bigint(20),
    create_time datetime,
    update_time datetime,

    primary key (id)
) engine = innodb default charset = 'utf8';

create table ds_role (
    id bigint(20) not null auto_increment,
    name varchar(40) not null,

    create_by bigint(20),
    update_by bigint(20),
    create_time datetime,
    update_time datetime,

    primary key (id)
) engine = innodb default charset = 'utf8';


create table ds_role_dept (
    role_id bigint(20) not null,
    dept_id bigint(40) not null,
    primary key (role_id, dept_id)
) engine = innodb default charset = 'utf8';

create table ds_user (
    id bigint(20) not null auto_increment,
    dept_id bigint(20),
    role_id bigint(20),
    nick_name varchar(40) not null,

    is_admin tinyint default 0 comment '1超管用户,0普通用户',

    create_by bigint(20),
    update_by bigint(20),
    create_time datetime,
    update_time datetime,

    primary key (id)
) engine = innodb default charset = 'utf8';

insert into ds_dept values
(1, 0, '0,1', 'xx', 1, 1, now(), now()),
(11, 1, '0,1,11', '部门1', 1, 1, now(), now()),
(12, 1, '0,1,12', '部门2', 1, 1, now(), now()),
(13, 1, '0,1,13', '部门3', 1, 1, now(), now());

insert into ds_role values
(1, 'role-1', 1, 1, now(), now()),
(2, 'role-2', 1, 1, now(), now()),
(3, 'role-3', 1, 1, now(), now());

insert into ds_role_dept values
(1, 1), (2, 11), (3,11), (3, 12), (3, 13);

insert into ds_user values (1, 1, null, 'huzk', 1, 1, 1, now(), now());

业务代码

domain

mapper

service

controller

mp config类

@Configuration
@EnableTransactionManagement
@MapperScan({"com.example.demo.mapper"})
public class MyBatisPlusConfig {
    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor(@Autowired InnerInterceptor dsDataPermissionInterceptor) {
        // 添加数据权限插件
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        interceptor.addInnerInterceptor(dsDataPermissionInterceptor);
        System.out.println("ds inter:" + dsDataPermissionInterceptor.toString());
        return interceptor;
    }
}

data permission

1. 枚举
public enum DataScope {
    ALL(1, "全部数据"),
    ME(2, "create_by = me的数据"),
    CUR_DEPT(3, "create_by in (cur dept user ids)"),
    CUR_SUB_DEPT(4, "create_by in (cur dept and sub depts user ids"),
    CUSTOM(5, "create by in (role-dept user ids)"),
    ;

    private int code;

    private String message;

    private DataScope(int code, String message) {
        this.code = code;
        this.message = message;
    }
}
2. 拦截器
@Component
@Slf4j
public class DsDataPermissionInterceptor extends JsqlParserSupport implements InnerInterceptor {
    private static final List<String> FILTER_SQL = new ArrayList<>();

    static {
        FILTER_SQL.add("com.example.demo.mapper.DeptMapper.selectList");
        FILTER_SQL.add("com.example.demo.mapper.UserMapper.selectList");
    }

    @Autowired
    private DsDataPermissionHandler dataPermissionHandler;

    @Override
    protected void processSelect(Select select, int index, String sql, Object obj) {
        SelectBody selectBody = select.getSelectBody();

        if (selectBody instanceof PlainSelect) {
            this.setWhere((PlainSelect) selectBody, (String) obj);
        } else if (selectBody instanceof SetOperationList) {
            SetOperationList setOperationList = (SetOperationList) selectBody;
            List<SelectBody> selectBodyList = setOperationList.getSelects();
            selectBodyList.forEach(s -> this.setWhere((PlainSelect) s, (String) obj));
        }
    }

    private void setWhere(PlainSelect plainSelect, String whereSegment) {
        Expression sqlSegment = this.dataPermissionHandler.getSqlSegment(plainSelect, whereSegment);
        if (null != sqlSegment) {
            plainSelect.setWhere(sqlSegment);
        }
    }

    @Override
    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
        if (!FILTER_SQL.contains(ms.getId())) {
            return;
        }
        PluginUtils.MPBoundSql mpBs = PluginUtils.mpBoundSql(boundSql);
        mpBs.sql(this.parserSingle(mpBs.sql(), ms.getId()));
    }
}
3. handler
@Component
@Slf4j
public class DsDataPermissionHandler {
    private static final EqualsTo NOT_EQ = new EqualsTo(new Column("1"), new Column("0"));

    @Autowired
    @Lazy
    UserMapper userMapper;

    @Autowired
    @Lazy
    DeptMapper deptMapper;

    public Expression getSqlSegment(PlainSelect plainSelect, String whereSegment) {
        DataScope dataScope = DataScope.CUR_SUB_DEPT;

        Expression where = plainSelect.getWhere();

        Table fromItem = (Table) plainSelect.getFromItem();
        Alias fromItemAlias = fromItem.getAlias();
        String mainTableName = fromItemAlias == null ? fromItem.getName() : fromItemAlias.getName();

        log.info("开始处理数据权限");
        return dispatch(dataScope, where, mainTableName);
    }

    private Expression dispatch(DataScope dataScope, Expression where, String mainTableName) {
        Expression expression = null;
        switch (dataScope) {
            case ALL:
                expression = handleAll(where);
                break;
            case ME:
                expression = handleMe(where, mainTableName);
                break;
            case CUR_DEPT:
                expression = handleCurDept(where, mainTableName);
                break;
            case CUR_SUB_DEPT:
                expression = handleCurSubDept(where, mainTableName);
                break;
            case CUSTOM:
                expression = handleCustom(where);
                break;
            default:
                break;
        }

        log.info("where: {}, ex: {}", where, expression);
        if (where == null) {
            return expression;
        }
        return new AndExpression(where, expression);
    }

    private Expression handleAll(Expression where) {
        return where;
    }

    private Expression handleMe(Expression where, String mainTableName) {
        Long userId = 1L;

        EqualsTo selfEqualsTo = new EqualsTo();
        selfEqualsTo.setLeftExpression(new Column(mainTableName + ".create_by"));
        selfEqualsTo.setRightExpression(new LongValue(userId));

        return selfEqualsTo;
    }

    private Expression handleCurDept(Expression where, String mainTableName) {
        Long deptId = 1L;
        List<Long> userIds = userMapper.selectIdsByDeptId(deptId);
        if (userIds.isEmpty()) {
            return NOT_EQ;
        }

        List<Expression> longUserIds = userIds.stream()
                .map(LongValue::new)
                .collect(Collectors.toList());
        InExpression inExpression = new InExpression();
        inExpression.setLeftExpression(new Column(mainTableName + ".create_by"));
        inExpression.setRightItemsList(new ExpressionList(longUserIds));

        return inExpression;
    }

    private Expression handleCurSubDept(Expression where, String mainTableName) {
        Long deptId = 1L;
        String ancestor = "0" + "," + deptId;
        List<Long> deptIds = deptMapper.selectIdsByAncestor(ancestor);
        if (deptIds.isEmpty()) {
            return NOT_EQ;
        }
        List<Long> userIds = userMapper.selectIdsByDeptIds(deptIds);

        List<Expression> longUserIds = userIds.stream()
                .map(LongValue::new)
                .collect(Collectors.toList());
        InExpression inExpression = new InExpression();
        inExpression.setLeftExpression(new Column(mainTableName + ".create_by"));
        inExpression.setRightItemsList(new ExpressionList(longUserIds));

        return inExpression;
    }

    private Expression handleCustom(Expression where) {
        return where;
    }
}
xl拾一
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
auth-center:mybatis数据权限控制插件
05-14
auth-center mybatis数据权限控制插件 业务系统可以通过加装数据权限插件,在业务代码侧方便的进行数据权限的控制: 针对特定类型的数据,包括下面几种场景: 只能本人查看 只能本职位查看 本职位以及下属可以查看 只指定职位可以查看 只指定职位及其下属可以查看
mybatis plus 数据权限插件在项目中的使用
超级博客
03-29 898
平时开发中遇到根据当前用户的角色,只能查看数据权限范围的数据需求。实现方案有两种,一是在开发初期就做好判断,但如果这个需求是中途加的,或不希望每个接口都加一遍,就可以方案二加拦截器的方式。在mybatis执行sql前修改语句,限定where范围。当然拦截器生效后是全局性的,如何保证只对需要的接口进行拦截和转化,就可以应用注解进行识别创建注解类创建处理类,获取数据权限 SQL 片段,设置条件将拦截器加到MyBatis-Plus插件中/*** 根据注解中的内容构造 拼接sql,用于数据权限过滤。
巧用 MyBatis Plus 实现数据权限控制
最新发布
04-24 936
巧用 MyBatis Plus 实现数据权限控制
MybatisPlus实现数据权限隔离
cz285933169的专栏
04-10 870
引言 Mybatis Plus对Mybatis做了无侵入的增强,非常的好用,今天就给大家介绍它的其中一个实用功能:数据权限插件数据权限插件的应用场景和多租户的动态拦截拼接SQL一样。
基于Mybatis-Plus实现数据权限
搬砖爱好者.的博客
02-11 4167
数据权限是指对系统用户进行数据资源可见性的控制。实现不同角色登录系统所展示的操作数据范围不一样,达到角色与角色、用户与用户之间数据的隔离。
MyBatisPlus数据权限插件分析
一千个读者就有一千个哈姆雷特
03-20 542
自定义数据权限拦截器 processSelect 处理查询 继承 JsqlParserSupport processUpdate 处理更新 继承 JsqlParserSupport processDelete 处理删除 继承 JsqlParserSupport beforeQuery 前置处理查询 实现 InnerInterceptor beforePrepare 前置处理删除和更新 实现 InnerInterceptor 流程分析 beforeQuery
MybatisPlus实现数据权限
MichaelZ的博客
03-17 1918
MybatisPlus 是一款 Mybatis 的增强工具,它为 Mybatis 提供了丰富的查询接口,大大简化了数据库操作。MybatisPlus 具备代码生成器,支持一键生成 Entity、Mapper、Mapper XML、Service、Controller 等文件,有效提高开发效率。此外,MybatisPlus 还提供了分页插件、性能分析插件等,能够帮助开发者更好地优化数据库操作。
MySQL Mybatis-plus 报错 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggrega
hf_programmer的博客
04-18 1533
Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggrega使用mybatis-plus 的groupby查询报错第一种第二种 使用mybatis-plus 的groupby查询报错 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggrega 这个错是因为MySQL 5.7.5之后的版本中sql_mode中默认包含O
SpringBoot系列:MybatisPlus的入门级使用教程(下)
江夏、的博客
05-27 537
今天分享的是MP入门使用教程的最后的部分,也是使用的比较多的地方,就是如何使用MP进行条件查询!
Mybatis plus增强工具包-其他
06-13
Mybatis-plus是MyBatis增强工具包,用于简化CRUD操作。该工具包为MyBatis提供了一些高效,有用,即用的功能,使用它可以有效地节省您的开发时间。 Mybatis-plus特征: 与MyBatis完全兼容 启动时自动配置 开箱即用的...
可复用的用户权限菜单模块,运用的技术是springboot+mybatis-plus
02-28
该zip中含有jar可复用模块,以及demo案例、数据结构sql脚本。觉得能用的上就下,用不上咋们就不下。我是需要一点积分所以整的这个。运用的技术是springboot,mybatis-plus,mysql,下载解压导入idea便可,还需要sql脚本导入数据库等修改一下配置。
SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统
04-28
采用SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统(附带权限管理),是搭建博客、网站的不二之选。 技术栈:Spring Boot、Apache Shiro、MyBatis-Plus、Alibaba Druid、Redis、MySQL、...
Spring4.2+SpringMVC4.2+Mybatis3.3+Mybatis-Plus整合可直接用作后台开发
09-12
Spring4.2 + SpringMVC4.2 + Mybatis3.3 + Mybatis-Plus(Mybatis插件,封装了CRUD和分页查询等功能) + log4j + shrio权限框架,可直接用于后台的开发。
SpringBoot + Mybatis Plus 实现的瀑布内容管理系统、CMS建站系统源码+数据库+项目说明文档
06-14
瀑布内容管理系统,采用SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统(附带权限管理),是搭建博客、网站的不二之选 后台测试账号 账号:guest 密码:123456 安装 将本项目源码导入本地...
基于SpringBoot3.x+Mybatis-Plus开发的通用后台管理系统源代码+数据库,简单易用,快速上手
06-19
框架基于SpringBoot3.x开发,使用了Mybatis-Plus、dynamic-datasource多数据源、druid数据库连接池、Sa-Token权限认证、SpringDoc接口文档、lombok、actuator健康监控、retry重试等组件。 功能 通用权限管理4件套,...
mybatis拦截器实现数据权限
m0_73311735的博客
06-10 943
前端的菜单和按钮权限都可以通过配置来实现,但很多时候,后台查询数据数据权限需要通过手动添加SQL来实现。比如员工打卡记录表,有id,name,dpt_id,company_id等字段,后两个表示部门ID和分公司ID。查看员工打卡记录SQL为:select id,name,dpt_id,company_id from t_record当一个总部账号可以查看全部数据此时,sql无需改变。因为他可以看到全部数据
(二十七)ATP应用测试平台——基于mybatisplus和aop切面实现数据权限隔离的案例实战
厉害哥哥的博客
11-10 703
在实际项目开发中,我们经常会用到俩种权限,一种是功能权限,一种是数据权限。功能权限主要是用来限制用户的操作,而数据权限是限制用户能查看到哪些数据。功能权限我们可以使用流行的框架shiro或者spring-security实现,本节内容不做介绍。关于数据权限,我们可以根据项目的需求逐个在查询条件处添加,这也是最容易想到的方案。 本节内容我们提供一种更加灵活和低耦合的方式实现数据权限过滤。核心思想就是通过底层的拦截器,将数据权限的过滤条件在底层查询操作开始之前添加,这样就可以根据实际需求完成数据的过滤。
mysql数据权限赋予
qq_36840503的博客
12-15 2666
先设置该用户只有show database权限 grant select,insert,update,delete on redmine1.* to jira@"%" identified by “jira”; 新增超级权限并允许远程访问: GRANT ALL PRIVILEGES ON . TO ‘myuser’@‘192.168.1.3’ IDENTIFIED BY ‘mypassword’ WITH GRANT OPTION; FLUSH PRIVILEGES; mysql8.0: grant a
mybatis plus 多租户插件
10-19
Mybatis-plus多租户插件是一种实现多租户技术的插件,它可以让同一个系统开放给多个组织/用户使用,每个组织/用户需要进行数据隔离,并且每个组织/用户可以自定义自己租用系统的个性化配置。使用多重租赁技术还有PaaS,IaaS等。Mybatis-plus多租户插件实现原理是在执行SQL时,自动添加租户ID的过滤条件,从而实现数据隔离。需要注意的是,多租户并不等同于权限过滤,租户之间是完全隔离的。在使用多租户技术时,可以采用独立数据库、共享数据库隔离表、共享数据库共享表等不同的数据隔离方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值