通用数据权限限制SQL自动注入工具分享(附源码)

最新推荐文章于 2024-06-21 15:30:17 发布
最新推荐文章于 2024-06-21 15:30:17 发布
阅读量1.5k 收藏 5
点赞数 4
分类专栏: 工具 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38688267/article/details/114134664
版权

版权说明: 本文由博主keep丶原创,转载请注明出处。
原文地址: https://blog.csdn.net/qq_38688267/article/details/114134664

文章目录

背景介绍

  众所周知,系统权限分为功能权限数据权限功能权限决定用户能访问哪些界面有哪些功能,数据权限则决定用户能看到哪些数据。绝大部分系统都会用到这个功能,可以说是非常常见了。

  数据权限限制该怎么做呢? 一般情况下大家都是在需要限制的sql中加上该用户的权限条件,作者之前也是这么实现的。
  虽然当时把这些权限条件SQL都封装了,每次使用的时候只要引用就行,但是还是感觉很麻烦,就想着能不能让程序来帮我实现这些数据权限限制SQL的注入呢?(我可真是个喜欢"偷懒"的小聪明呢)

  有了这个想法,作者就开始捣鼓了,经过一阵捣鼓后,作者封装的基于Mybatis的 通用数据权限限制SQL工具V1.0 版本总算捣鼓出来了!


效果演示

在这里插入图片描述
在这里插入图片描述

  看完上面的效果,各位是不是很奇怪? sys_role这张表怎么来的?df_als别名怎么来的?ON sr.tenant_id = df_als.tenant_id怎么来的?sr.id IN ('asdf', 'asdff')又是怎么来的?

  全都是配置出来的! 为了足够通用,很多东西都是可配的,如:

  • 哪些表、方法、类需要限制,哪些不用可配
  • 用哪些表来限制可配
  • 关联关系字段、条件字段可配
  • where条件数据值来源可配

  还有更多:

  • 可配置多个SQL处理器
  • 多个处理器执行策略可配


核心代码介绍

要实现这个功能,有几个要点:

  • 需要标记并获取哪些是需要限制的方法
  • 实现上述方法的拦截
  • 实现SQL修改

下面一一为大家介绍作者的实现方式。

需要限制的方法标记和获取

  标记很简单,用个注解就好了。获取作者利用了mybatis的mapper扫描工作,重写其方法让其顺便帮我们检查下是否带有标记注解。

/** 
 * 数据权限限制SqlInjector
 * <p>
 * 重写mp的mapper扫描逻辑
 * 在扫描mapper后检查是否需要数据权限限制并缓存这些信息
 *
 * @author zzf
 * @date 2021/2/5 15:02
 */
@Slf4j
public class DataAuthSqlInjector extends DefaultSqlInjector {

    @Override
    public void inspectInject(MapperBuilderAssistant builderAssistant, Class<?> mapperClass) {
        String resource = ResourceUtils.getResourceKey(mapperClass);

        Set<String> needAuthMethodSet = new HashSet<>();
        Set<String> notNeedAuthMethodSet = new HashSet<>();

        if (mapperClass.isAnnotationPresent(DataAuth.class)) {
            DataAuthCache.addNeedAuthResource(resource);

            for (Method method : mapperClass.getMethods()) {
                needAuthMethodSet.add(method.getName());
            }
        }

        for (Method method : mapperClass.getMethods()) {
            if (method.isAnnotationPresent(DataAuth.class)) {
                needAuthMethodSet.add(method.getName());
            }
            if (method.isAnnotationPresent(DataAuthIgnore.class)) {
                notNeedAuthMethodSet.add(method.getName());
            }
        }
        if (needAuthMethodSet.size() > 0) {
            DataAuthCache.addNeedAuthMethod(resource, needAuthMethodSet);
            DataAuthCache.addResource2EntityClassMap(resource, extractModelClass(mapperClass));
        }
        if (notNeedAuthMethodSet.size() > 0) {
            DataAuthCache.addNotNeedAuthMethod(resource, notNeedAuthMethodSet);
        }
        super.inspectInject(builderAssistant, mapperClass);
    }
}

实现标记方法的拦截

  拦截也比较简单,我们直接实现Mybatis Plus提供的拦截接口:


/**
 * 数据权限拦截器
 *
 * @author zzf
 * @date 11:05 2021/2/4
 */
@Slf4j
public class DataAuthInterceptor implements InnerInterceptor {

    //限制策略
    private final DataAuthStrategy dataAuthStrategy;

    private final Set<String> needAuthId = new TreeSet<>();
    private final Set<String> notNeedAuthId = new TreeSet<>();

    public DataAuthInterceptor(DataAuthStrategy dataAuthStrategy) {
        this.dataAuthStrategy = dataAuthStrategy;
    }

    @Override
    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
        String id = ms.getId();

        String resource = ResourceUtils.getResourceKey(ms.getResource());

        String methodName;
        if (id.contains(".")) {
            methodName = id.substring(id.lastIndexOf(".") + 1);
        } else {
            methodName = id;
        }
        if (needAuthCheck(resource, methodName, id)) {
            log.warn("sql before parsed: " + boundSql.getSql());
            Class<?> entityClass = DataAuthCache.getEntityClassByResource(resource);
            try {
                Select selectStatement = (Select) CCJSqlParserUtil.parse(boundSql.getSql());
                dataAuthStrategy.doParse(selectStatement, entityClass);

                ReflectUtil.setFieldValue(boundSql, "sql", selectStatement.toString());
                log.warn("sql after parsed: " + boundSql.getSql());

            } catch (JSQLParserException e) {
                throw new SQLException("sql role limit fail: sql parse fail.");
            }

        }
    }


    /**
     * 判断是否需要数据权限限制
     */
    private boolean needAuthCheck(String resource, String methodName, String id) {
        if (needAuthId.contains(id)) {
            return true;
        }
        if (notNeedAuthId.contains(id)) {
            return false;
        }
        boolean result;
        if (DataAuthCache.isNeedAuthResource(resource)) {
            result = !DataAuthCache.isNotNeedAuthMethod(resource, methodName);
        } else {
            result = DataAuthCache.isNeedAuthMethod(resource, methodName);
        }

        if (result) {
            needAuthId.add(id);
        } else {
            notNeedAuthId.add(id);
        }
        return result;
    }
}

  

实现SQL修改

  自己手写SQL修改是不太现实的,要考虑的情况太多了,作者使用JSqlParser工具来进行SQL修改,部分代码如下:


    /**
     * 进行数据权限限制的SQL处理
     */
    public SqlHandlerResult doParse(Select selectStatement, Class<?> entityClass) {
        T data = dataGetter.getData();
        PlainSelect selectBody = (PlainSelect) selectStatement.getSelectBody();
        //判断数据是否为空,且为空时是否处理
        if (data == null) {
            if (parseIfDataAbsent()) {
                //空数据权限处理
                EqualsTo equalsTo = new EqualsTo();
                equalsTo.setRightExpression(new LongValue(1));
                equalsTo.setLeftExpression(new LongValue(0));
                //在where子句中添加 1 = 0 条件, 并 and 原有条件
                AndExpression andExpression = new AndExpression(equalsTo, selectBody.getWhere());
                selectBody.setWhere(andExpression);
            }
            return SqlHandlerResult.nonData(parseIfDataAbsent());
        } else {
            if (dataIsFull(data)) {
                // 拥有全部权限,此处不对SQL做任何处理
                return SqlHandlerResult.hadAll();
            } else {
                // 正常处理
                Table fromItem = (Table) selectBody.getFromItem();
                aliasHandle(selectBody, fromItem);
                joinHandle(entityClass, selectBody, fromItem);
                whereHandle(selectBody);
            }
        }
        return SqlHandlerResult.handle();
    }

    /**
     * 别名处理
     * 如果from的表没有别名,手动给他加个别名,并给所有 查询列和 where条件中的列增加别名前缀
     */
    public void aliasHandle(PlainSelect selectBody, Table fromItem) {
        if (fromItem.getAlias() == null || fromItem.getAlias().getName() == null) {
            fromItem.setAlias(new Alias(DataAuthConstants.DEFAULT_ALIAS));
            selectBody.getSelectItems().forEach(s ->
                    s.accept(new ExpressionVisitorAdapter() {
                        @Override
                        public void visit(Column column) {
                            column.setTable(fromItem);
                        }
                    })
            );

            Expression where = selectBody.getWhere();
            if (where != null) {
                where.accept(new ExpressionVisitorAdapter() {
                    @Override
                    public void visit(Column column) {
                        column.setTable(fromItem);
                    }
                });
            }
        }
    }

    /**
     * JOIN子句处理
     * <p>
     * 将数据限制表通过JOIN的方式加入
     */
    public void joinHandle(Class<?> entityClass, PlainSelect selectBody, Table fromItem) {
        // 假如要实现 LEFT JOIN t2 ON t2.id2 = t1.id1
        Table limitTable = getLimitTable();
        Join join = new Join();// JOIN
        join.setLeft(true);// LEFT JOIN
        join.setRightItem(limitTable);// LEFT JOIN t2

        EqualsTo equalsTo = new EqualsTo();// =

        Column limitRelationColumn = new Column(relationColumnName);// id2
        limitRelationColumn.setTable(limitTable);// t2.id2

        Column targetRelationColumn = new Column(DataAuthCache.getFieldName(getId(), entityClass));// id1
        targetRelationColumn.setTable(fromItem);// t1.id1

        equalsTo.setLeftExpression(limitRelationColumn);
        equalsTo.setRightExpression(targetRelationColumn);// t2.id2 = t1.id1
        join.setOnExpression(equalsTo);// LEFT JOIN t2 ON t2.id2 = t1.id1

        List<Join> joins = selectBody.getJoins();
        if (joins == null) {
            selectBody.setJoins(Collections.singletonList(join));
        } else {
            joins.add(join);
        }
    }

    /**
     * WHERE子句处理
     * <p>
     * 添加数据权限条件
     */
    public void whereHandle(PlainSelect selectBody) {
        Column whereColumn = new Column(whereColumnName);
        whereColumn.setTable(getLimitTable());

        setOperatorValue();

        AndExpression andExpression = new AndExpression(operator, selectBody.getWhere());
        selectBody.setWhere(andExpression);
    }

    protected Table getLimitTable() {
        Table limitTable = new Table(this.tableName);
        limitTable.setAlias(new Alias(this.tableAlias));
        return limitTable;
    }

源代码分享

项目地址:https://gitee.com/zengzefeng/easy-frame

总结

  该功能只是初版,肯定还有很多不足和考虑不周的地方,还请各位大佬多多指点。后续还会继续优化迭代,希望能打造成一个spring-boot-starter,哈哈。

keep丶
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
【D3S】数据权限 - 基于Mybatis的数据权限拦截器实现
罗小爬的技术宝书
07-02 1435
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
数据权限实现(Mybatis拦截器+JSqlParser)
热门推荐
为了更美好的明天。
04-18 2万+
由于本人才疏学浅,刚刚入门。本文章是我在实现数据权限的过程中的学习体会。 总体思想 一、Mybatis拦截器 参考:Mybatis中文官网 引用官网说明: MyBatis 允许你在已映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括: Executor (update, query, flushStatements, c
【JSqlParser】Java使用JSqlParser解析SQL语句总结
最新发布
RudolphLiu的博客
06-21 3319
熟悉JDBC的程序员一般都知道Statement,其实就是语句的意思,不过在Jsqlparser中Statement已经面向对象,被设计成了一个interface,之所以设计成interface大概都可以猜到,因为Jsqlparser既然要去解析SQL,那必然要对SQL语句做区分,到底是Select、还是Insert、还是Delete、甚至是Create,而Jsqlparser对每种语句都做了一个封装,它们都继承了Statement。
使用 ibatis-Interceptor+jsqlparser 实现数据权限过滤(适用于任何大型分布式业务系统)
weixin_43139183的博客
03-08 690
使用 ibatis-Interceptor+jsqlparser 实现数据权限过滤(适用于任何大型分布式业务系统)
基于 Mybatis-Plus 的简单数据权限实现
weixin_43462530的博客
06-15 2683
上班摸鱼,尝试着写个简单的数据权限,后期项目中可能会用到。
防js/sql注入简易工具 v1.1
11-29
【防js/sql注入简易工具 v1.1】是一款专门针对JavaScript和SQL注入攻击的防护工具。此工具的主要目的是为开发者提供一种简便的方式来增强他们的应用程序安全,防止恶意用户通过注入脚本或SQL语句来操控系统。以下是...
Asp.Net通用Sql注入源码
06-06
"Asp.Net通用Sql注入源码"是针对这个问题提供的一种解决方案,旨在帮助Asp.Net程序员更好地保护他们的应用程序免受SQL注入攻击。 SQL注入攻击通常发生在应用程序没有正确验证或清理用户输入时。例如,当用户在...
ASP源码—360通用ASP防护代码(防sql注入).zip
10-14
在ASP源码中,防止SQL注入是至关重要的安全措施,因为SQL注入攻击可能导致数据泄露、系统瘫痪甚至整个数据库被破坏。360通用ASP防护代码就是针对这种威胁的一种解决方案。 SQL注入是指攻击者通过在输入字段中插入...
sql通用注入源码
07-07
本压缩包提供的是一个通用SQL注入源码,适用于多种环境,可以帮助开发者增强其应用程序的安全性。 一、SQL注入原理及危害 SQL注入攻击是当用户输入的数据未经验证或过滤,直接被用作构造SQL查询的一部分时发生...
易语言SQL注入
07-18
3. **最小权限原则**:为应用程序的数据库连接分配最小必要的权限,这样即使有SQL注入,攻击者也无法执行敏感操作。在易语言中,可以通过设置数据库连接字符串来控制访问权限。 4. **错误处理和日志记录**:当发生...
记一次数据权限实现过程
Tomcat的博客
11-30 334
一次基于mybatis-plus的数据权限实现过程
MyBatis Plus 拦截器实现数据权限控制(完整版)
progammer10086的博客
06-09 6181
新增针对不需要做数据权限控制的注解
MyBatis Plus 拦截器实现数据权限控制
progammer10086的博客
05-18 4305
上篇文章介绍的MyBatis Plus 插件实际上就是用拦截器实现的,MyBatis Plus拦截器对MyBatis的拦截器进行了包装处理,操作起来更加方便MyBatis Plus提供的InnerInterceptor接口提供了如下方法,主要包括:在查询之前执行,在更新之前执行,在SQL准备之前执行/**return;} } /*** 查询。
数据权限简单设计思路
linhao_obj的博客
10-21 3944
数据权限
SQL注入
flylr^的博客
08-12 1323
Sql注入指的是web程序对用户输入的过滤不足,致使非法数据入侵系统;sql注入是一种常见的数据库攻击手段,sql注入漏洞也是网络世界中最普遍的漏洞之一。
【网络安全-SQL注入(4)】一篇文章带你了解sql server数据库三大权限,以及三大权限SQL注入SQL注入点利用以及getshell
m0_67844671的博客
10-02 2253
【网络安全-SQL注入SQL注入----一篇文章教你access数据SQL注入以及注入点利用。SQL注入【3】-CSDN博客本篇文章以凡诺企业网站管理系统为例,讲解了access数据库是如何进行SQL注入的,以及注入点如何利用,如何判断查询字段个数,如果用联合查询爆出数据数据等;【网络安全-SQL注入SQL注入----一篇文章教你access数据SQL注入以及注入点利用。SQL注入【3】;
Mybatis 的 Interceptor(拦截器) 与 JSqlparser 结合解析SQL 使SpringBoot项目多数据库兼容的尝试
RudolphLiu的博客
06-06 2011
Executor (执行器):负责增删改查和事务,它调度(另外三个)等来执行对应的SQLStatementHandler(语句预处理) :封装JDBC,构建SQL语法,负责和数据库进行交互执行sql语句,(后期下手操作和修改SQL也主要是以它为主)ParameterHandler (参数处理):负责将参数真正加入到SQL语句中的部分负责将JDBC查询结果映射到java对象。
使用mybatis plus自定义拦截器,实现数据权限
weixin_44835182的博客
11-26 774
为了增强程序的安全性,需要在用户访问数据库的时候进行权限判断后选择性进行判断是否需要增强sql,来达到限制低级别权限用户访问数据的目的.部门采用的是可以反向推出父id\祖id(删除末尾2位数字可以推出父id\删除末尾4位数字可以推出父id)\或更高级别结点,编号等于1的时候是最顶级结点.
Python实现的SQL注入自动工具——SQLReveal
"基于Python的自动SQL注入工具开发" 这篇论文主要关注的是利用Python开发一个自动SQL注入工具,名为“SQLReveal”,以解决网络安全领域中SQL注入漏洞带来的严重威胁。SQL注入是网络攻击中常见且危害极大的一种...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值