分析若依中AOP类DataScopeAspect对于各项权限所添加的SQL语句

已于 2022-11-03 22:16:57 修改
阅读量1.5k 收藏 5
点赞数 1
分类专栏: 若依专栏 文章标签: sql 数据库 java spring mysql
于 2022-11-03 17:39:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53480941/article/details/127661132
版权

目录

一、问题引入

二、源码分析

基本层:

概念引入:

SQL语句对应权限

全部权限:

自定义权限:

仅本人添加权限:

三、 总结

一、问题引入

我们都知道若依功能可以给予不同用户权限,通过角色管理模块的修改可以实现不同权限的授予与否;

我们得深究一下如何实现不同用户读取不同的数据得到相对应的数据权限。

 在右边更多一栏处我们可以看到数据权限这一选项,点进去看我们可以发现当前用户ry已拥有全部数据权限。

登录用户ry可以看到ry确实拥有了全部数据权限,这与超级管理员所看到的是一样的。

我们可以自定义用户ry的数据权限,仅让它获取部分部门的数据权限,对比一下效果如何。

再看一次登录ry用户的部门管理界面我们可以发现与自定义数据权限相对应。

 再将用户ry的数据权限改为仅本部门数据权限,由于此时用户ry为测试部门应该只能看到测试部门

我们验证一下;

我们只看到了用户ry作为一个普通测试部门的用户只看了本部门的数据,验证了数据权限的成功按照我们的想法去分配了。

接下来我们通过分析源码来探讨这个过程的原理是什么?

二、源码分析

基本层:

分别在SysUserController层和SysUserServiceImpl层我们可以看到

    @PreAuthorize("@ss.hasPermi('system:user:list')")
    @GetMapping("/list")
    public TableDataInfo list(SysUser user)
    {
        startPage();
        List<SysUser> list = userService.selectUserList(user);
        return getDataTable(list);
    }
    @Override
    @DataScope(deptAlias = "d", userAlias = "u")
    public List<SysUser> selectUserList(SysUser user)
    {
        return userMapper.selectUserList(user);
    }
 <select id="selectUserList" parameterType="SysUser" resultMap="SysUserResult">
		select u.user_id, u.dept_id, u.nick_name, u.user_name, u.email, u.avatar, u.phonenumber, u.password, u.sex, u.status, u.del_flag, u.login_ip, u.login_date, u.create_by, u.create_time, u.remark, d.dept_name, d.leader from sys_user u
		left join sys_dept d on u.dept_id = d.dept_id
		where u.del_flag = '0'
		<if test="userId != null and userId != 0">
			AND u.user_id = #{userId}
		</if>
		<if test="userName != null and userName != ''">
			AND u.user_name like concat('%', #{userName}, '%')
		</if>
		<if test="status != null and status != ''">
			AND u.status = #{status}
		</if>
		<if test="phonenumber != null and phonenumber != ''">
			AND u.phonenumber like concat('%', #{phonenumber}, '%')
		</if>
		<if test="params.beginTime != null and params.beginTime != ''"><!-- 开始时间检索 -->
			AND date_format(u.create_time,'%y%m%d') &gt;= date_format(#{params.beginTime},'%y%m%d')
		</if>
		<if test="params.endTime != null and params.endTime != ''"><!-- 结束时间检索 -->
			AND date_format(u.create_time,'%y%m%d') &lt;= date_format(#{params.endTime},'%y%m%d')
		</if>
		<if test="deptId != null and deptId != 0">
			AND (u.dept_id = #{deptId} OR u.dept_id IN ( SELECT t.dept_id FROM sys_dept t WHERE find_in_set(#{deptId}, ancestors) ))
		</if>
		<!-- 数据范围过滤 -->
		${params.dataScope}
	</select>

在SysUserMapper层我们可以发现${params.dataScope}即表示数据范围的过滤。

数据权限功能实现的主要注解@DataScope:

我们可以在自定义注解一栏找到自定义注解@DataScope,看看它是如何定义的吧。

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 数据权限过滤注解
 * 
 * @author ruoyi
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataScope
{
    /**
     * 部门表的别名
     */
    public String deptAlias() default "";

    /**
     * 用户表的别名
     */
    public String userAlias() default "";
}

而AOP类DataScope负责处理注解@DataScope;

概念引入:

AOP:Aspect Oriented Programming 面向切面编程,通过预编译方式和运行期间动态代理实现程序功能的统一维护的一种技术。AOP是OOP的延续,是软件开发中的一个热点,也是Spring框架中的一个重要内容,是函数式编程的一种衍生范型。利用AOP可以对业务逻辑的各个部分进行隔离,从而使得业务逻辑各部分之间的耦合度降低,提高程序的可重用性,同时提高了开发的效率。

其中,

Aspect(切面): Aspect 声明类似于 Java 中的类声明,在 Aspect 中会包含着一些 Pointcut 以及相应的 Advice。
Joint point(连接点):表示在程序中明确定义的点,典型的包括方法调用,对类成员的访问以及异常处理程序块的执行等等,它自身还可以嵌套其它 joint point。
Pointcut(切点):表示一组 joint point,这些 joint point 或是通过逻辑关系组合起来,或是通过通配、正则表达式等方式集中起来,它定义了相应的 Advice 将要发生的地方。
Advice(增强):Advice 定义了在 Pointcut 里面定义的程序点具体要做的操作,它通过 before、after 和 around 来区别是在每个 joint point 之前、之后还是代替执行的代码。
Target(目标对象):织入 Advice 的目标对象.。
Weaving(织入):将 Aspect 和其他对象连接起来, 并创建 Adviced object 的过程。
(原文链接:https://blog.csdn.net/q982151756/article/details/80513340)

此处在若依当中我们可以找到AOP类DataAspectScope的定义和用处:

@Aspect
@Component
public class DataScopeAspect
{
    /**
     * 全部数据权限
     */
    public static final String DATA_SCOPE_ALL = "1";

    /**
     * 自定数据权限
     */
    public static final String DATA_SCOPE_CUSTOM = "2";

    /**
     * 部门数据权限
     */
    public static final String DATA_SCOPE_DEPT = "3";

    /**
     * 部门及以下数据权限
     */
    public static final String DATA_SCOPE_DEPT_AND_CHILD = "4";

    /**
     * 仅本人数据权限
     */
    public static final String DATA_SCOPE_SELF = "5";

    /**
     * 数据权限过滤关键字
     */
    public static final String DATA_SCOPE = "dataScope";

通过定义String类 DATA_SCOPE_XXX来定义不同的权限。

  @Before("@annotation(controllerDataScope)")
    public void doBefore(JoinPoint point, DataScope controllerDataScope) throws Throwable
    {
        clearDataScope(point);
        handleDataScope(point, controllerDataScope);
    }

@Before给定了注解controllerDataScope最先执行顺序,即监听注解类型为@DataScope。

    protected void handleDataScope(final JoinPoint joinPoint, DataScope controllerDataScope)
    {
        // 获取当前的用户
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNotNull(loginUser))
        {
            SysUser currentUser = loginUser.getUser();
            // 如果是超级管理员,则不过滤数据
            if (StringUtils.isNotNull(currentUser) && !currentUser.isAdmin())
            {
                dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(),
                        controllerDataScope.userAlias());
            }
        }
    }

此处定义handleDataScope用作判断当前用户是否为超级管理员。若是则不过滤任何数据,否则继续进行接下来的数据筛选。

    public static void dataScopeFilter(JoinPoint joinPoint, SysUser user, String deptAlias, String userAlias)
    {
        StringBuilder sqlString = new StringBuilder();

        for (SysRole role : user.getRoles())
        {
            String dataScope = role.getDataScope();
            if (DATA_SCOPE_ALL.equals(dataScope))
            {
                sqlString = new StringBuilder();
                break;
            }
            else if (DATA_SCOPE_CUSTOM.equals(dataScope))
            {
                sqlString.append(StringUtils.format(
                        " OR {}.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id = {} ) ", deptAlias,
                        role.getRoleId()));
            }
            else if (DATA_SCOPE_DEPT.equals(dataScope))
            {
                sqlString.append(StringUtils.format(" OR {}.dept_id = {} ", deptAlias, user.getDeptId()));
            }
            else if (DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope))
            {
                sqlString.append(StringUtils.format(
                        " OR {}.dept_id IN ( SELECT dept_id FROM sys_dept WHERE dept_id = {} or find_in_set( {} , ancestors ) )",
                        deptAlias, user.getDeptId(), user.getDeptId()));
            }
            else if (DATA_SCOPE_SELF.equals(dataScope))
            {
                if (StringUtils.isNotBlank(userAlias))
                {
                    sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId()));
                }
                else
                {
                    // 数据权限为仅本人且没有userAlias别名不查询任何数据
                    sqlString.append(" OR 1=0 ");
                }
            }
        }

        if (StringUtils.isNotBlank(sqlString.toString()))
        {
            Object params = joinPoint.getArgs()[0];
            if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
            {
                BaseEntity baseEntity = (BaseEntity) params;
                baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");
            }
        }
    }

以上代码段用作数据范围的大概筛选,筛选掉一些不符合查询条件的数据,数据权限初步实现。

在SysUserMapper.xml中parameterType类“SysUser”继承了BaseEntity类,进行SQL语句查询数据

  <select id="selectUserList" parameterType="SysUser" resultMap="SysUserResult">
		select u.user_id, u.dept_id, u.nick_name, u.user_name, u.email, u.avatar, u.phonenumber, u.password, u.sex, u.status, u.del_flag, u.login_ip, u.login_date, u.create_by, u.create_time, u.remark, d.dept_name, d.leader from sys_user u
		left join sys_dept d on u.dept_id = d.dept_id
		where u.del_flag = '0'
		<if test="userId != null and userId != 0">
			AND u.user_id = #{userId}
		</if>
		<if test="userName != null and userName != ''">
			AND u.user_name like concat('%', #{userName}, '%')
		</if>
		<if test="status != null and status != ''">
			AND u.status = #{status}
		</if>
		<if test="phonenumber != null and phonenumber != ''">
			AND u.phonenumber like concat('%', #{phonenumber}, '%')
		</if>
		<if test="params.beginTime != null and params.beginTime != ''"><!-- 开始时间检索 -->
			AND date_format(u.create_time,'%y%m%d') &gt;= date_format(#{params.beginTime},'%y%m%d')
		</if>
		<if test="params.endTime != null and params.endTime != ''"><!-- 结束时间检索 -->
			AND date_format(u.create_time,'%y%m%d') &lt;= date_format(#{params.endTime},'%y%m%d')
		</if>
		<if test="deptId != null and deptId != 0">
			AND (u.dept_id = #{deptId} OR u.dept_id IN ( SELECT t.dept_id FROM sys_dept t WHERE find_in_set(#{deptId}, ancestors) ))
		</if>
		<!-- 数据范围过滤 -->
		${params.dataScope}
	</select>

后台Log输出:

DEBUG c.r.s.m.S.selectUserList - [debug,137] - ==>  Preparing: select u.user_id, u.dept_id, u.nick_name, u.user_name, u.email, u.avatar, u.phonenumber, u.password, u.sex, u.status, u.del_flag, u.login_ip, u.login_date, u.create_by, u.create_time, u.remark, d.dept_name, d.leader from sys_user u left join sys_dept d on u.dept_id = d.dept_id where u.del_flag = '0' AND (d.dept_id = 105 ) LIMIT ?

即后台查询了d.dept_id=105的所有数据,即测试部门所能看到的数据权限。

SQL语句对应权限

全部权限:

对应的是DataScopeAspect中的DATA_SCOPE_ALL,搜索全部部门信息

[http-nio-8080-exec-87] DEBUG c.r.s.m.S.selectDeptList - [debug,137] - ==>  Preparing: select d.dept_id, d.parent_id, d.ancestors, d.dept_name, d.order_num, d.leader, d.phone, d.email, d.status, d.del_flag, d.create_by, d.create_time from sys_dept d where d.del_flag = '0' order by d.parent_id, d.order_num
  if (DATA_SCOPE_ALL.equals(dataScope))
            {
                sqlString = new StringBuilder();
                break;
            }

自定义权限:

对应的是DataScopeAspect中的DATA_SCOPE_CUSTOM,对应的SQL添加语句是:

 else if (DATA_SCOPE_CUSTOM.equals(dataScope))
            {
                sqlString.append(StringUtils.format(
                        " OR {}.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id = {} ) ", deptAlias,
                        role.getRoleId()));
            }

仅本人添加权限:

对应的是DataScopeAspect中的DATA_SCOPE_SELF,对应的SQL添加语句是:

            else if (DATA_SCOPE_SELF.equals(dataScope))
            {
                if (StringUtils.isNotBlank(userAlias))
                {
                    sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId()));
                }
                else
                {
                    // 数据权限为仅本人且没有userAlias别名不查询任何数据
                    sqlString.append(" OR 1=0 ");
                }
            }

三、 总结

数据权限的主要作用:限制同一类型数据的不同行

具体操作:给角色配置数据权限、给用户配置对应角色

若依数据权限的大概逻辑:

  1. 在SysUserController层编写TableDataInfo请求查询list。
  2. SysUserService层上@DataScope注解的实现。
  3. 监测@DataScope 的AOP切面类DataScopeAspect [给继承BaseEntity 的子类属性params 添加SQL ],进行相对应的权限筛选,如全部权限、本门权限、自定义权限等。
  4. service
  5. Java Mapper 
  6. 通过返回selectUserList的SysUserMapper通过子类属性params 使用SQL 语句过滤数据,实现不同数据权限所见不同的效果

noviceProgrammer、
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
主要介绍了Spring Boot 通过AOP和自定义注解实现权限控制,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Ruoyi—AOPDataScopeAspect分析
m0_61848916的博客
11-03 244
点击更多>修改数据权限
若依DataScopeAspect数据权限解析和ew.customSqlSegment源码解析
nalanxiaoxiao2011的博客
09-15 2669
若依 数据权限 角色 ew.customSqlSegment
若依源码解析:DataScopeAspect实现数据范围的控制
字节叔叔
05-21 1137
*** 部门表的别名/*** 用户表的别名/*** 全部数据权限/*** 自定数据权限/*** 部门数据权限/*** 部门及以下数据权限/*** 仅本人数据权限/*** 拦截带有@DataScope注解的方法* 它接收JoinPoint和DataScope对象作为参数。拦截带有@DataScope注解的方法* DataScope是一个注解类。
RuoYi关于AOPDataScopeAspect分析
m0_66253303的博客
12-17 446
最终添加sql语句及作用:全部权限:空字符串。用户具有全部数据的访问权限。自定义权限:OR d.dept_id IN (SELECT dept_id FROM sys_role_dept WHERE role_id = X)。根据用户的角色,查询出与该角色相关的部门数据,仅允许用户访问与这些部门相关的数据。
Ruoyi | AOPDataScopeAspect分析
m0_70893854的博客
12-17 186
数据权限限制的总体逻辑:2.Service 上的注解@DataScope3.监测@DataScope 的切面类DataScopeAspect [给继承BaseEntity 的子类属性params 添加SQL ]4. Service6.xml Mapper [通过子类属性params 使用SQL 语句过滤数据]
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring aop实现用户权限管理的示例
08-28
本篇文章主要介绍了spring aop实现用户权限管理的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java aop拦截方法类前后添加日志
08-01
java aop拦截方法类前后添加日志
Spring AOP实现权限检查的功能
09-07
主要介绍了Spring AOP实现权限检查的功能,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
ruoyiAOPDataScopeAspect对于全部权限、自定义权限、仅本人权限分析
qq_52556714的博客
11-03 404
xml使用AOP添加SQL语句
分析AOPDataScopeAspect 对于全部权限、自定义权限、仅本人权限最终添加SQL 语句
weixin_61845680的博客
11-03 717
分析AOPDataScopeAspect 对于全部权限、自定义权限、仅本人权限最终添加SQL 语句
【若依(ruoyi)】菜单操作SQL
sayyy的专栏
03-31 442
前言 ruoyi 4.6 查询一级菜单 select * from `sys_menu` where parent_id=0; 查询父级菜单已被删除的菜单 select m.* from `sys_menu` m left join `sys_menu` mp on m.parent_id=mp.menu_id where m.parent_id>0 and mp.menu_id is null; 删除某个菜单 delete from `sys_menu` where menu_name=
【若依(ruoyi)】工作流操作SQL
sayyy的专栏
03-31 2146
前言 ruoyi 4.6.0 RuoYi-Process(https://gitee.com/calvinhwang123/RuoYi-Process) 清空工作流的运行时数据 SET FOREIGN_KEY_CHECKS = 0; truncate table `act_ru_deadletter_job`; truncate table `act_ru_event_subscr`; truncate table `act_ru_execution`; truncate table `act_ru_i
RuoYi 数据权限过滤源码解析
Poceer的博客
03-05 415
学习RuoYi框架的过程遇到的权限治理代码的问题分享, 详解数据权限过滤 DataScope 的实现方式
Spring框架学习-AOP操作-JdbcTemplate(操作数据库-添加,修改,删除)-10
软件手的博客
07-20 247
代码】Spring框架学习-AOP操作-JdbcTemplate(操作数据库-添加,修改,删除)-10。
10.19工作学习记录 AOPsql分组查询、子查询关联查询 里式替换 开闭原则 迪米特法则
qq_42585768的博客
10-19 124
SpringAOP是在不改变原有设计(代码)的前提下对其进行增强的,它的底层采用的是代理模式实现的,所以要对原始对象进行增强,就需要对原始对象创建代理对象,在代理对象的方法把通知[如:MyAdvice的method方法]内容加进去,就实现了增强,这就是我们所说的代理(Proxy)。因此 建议让A与B继承同一个Base类 然后A实现Base类 在B想要调用A的f1方法 通过在Bnew一个A 来改写B的f3方法 在f3调用A的f1方法。
继续SQL
qq_47966193的博客
05-09 544
● 例如:datediff('2021-06-08','2021-06-01')返回7,datediff('2021-06-08 23:59:59','2021-06-01 21:00:00')返回7,datediff('2021-06-01','2021-06-08')返回-7。● 例如:year('2021-08-03')返回2021,month('2021-08-03')返回8,day('2021-08-03')返回3。
pgbackrest 备份工具使用 postgresql
最新发布
liyayou的博客
05-10 669
我们的备份策略基本是,1天1次完整备份,1个小时1次差异备份。注意:命令postgres:postgres,是为了授权给postgres用户权限,而且最好是用postgres用户,不然会遇到很多操作报无权限【因为postgresql在安装初始化的时候就自动创建了一个系统用户postgres,默认使用的也是postgres】#加上 --delta ,pgBackRest 自动确定数据库集群目录的哪些文件可以保留,哪些文件需要从备份恢复 — 它还会删除备份清单不存在的文件,以便处理不同的更改。
springboot怎么在aop进行权限认证
09-04
在Spring Boot,可以使用AOP(面向切面编程)来进行权限认证。下面是一个简单的例子: 1. 创建一个自定义的注解,用于标记需要进行权限认证的方法或类。 ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface RequirePermission { String value(); // 权限名称 } ``` 2. 创建一个切面类,用于处理权限认证逻辑。 ```java @Aspect @Component public class PermissionAspect { @Autowired private PermissionService permissionService; @Around("@annotation(requirePermission)") public Object checkPermission(ProceedingJoinPoint joinPoint, RequirePermission requirePermission) throws Throwable { // 获取用户权限信息 User user = getCurrentUser(); if (user == null) { throw new UnauthorizedException("用户未登录"); } // 检查用户权限 if (!permissionService.hasPermission(user.getId(), requirePermission.value())) { throw new ForbiddenException("没有访问权限"); } // 执行原始方法 return joinPoint.proceed(); } // 获取当前登录用户的逻辑,根据实际情况自行实现 private User getCurrentUser() { // ... } } ``` 3. 在需要进行权限认证的方法或类上添加`@RequirePermission`注解。 ```java @RestController public class UserController { @Autowired private UserService userService; @RequirePermission("user:list") @GetMapping("/users") public List<User> getUsers() { return userService.getAllUsers(); } @RequirePermission("user:add") @PostMapping("/users") public User addUser(@RequestBody User user) { return userService.addUser(user); } } ``` 以上就是使用AOP在Spring Boot进行权限认证的简单示例。在切面类,通过`@Around`注解来指定切点,并在切点方法实现权限认证逻辑。在需要进行权限认证的方法上添加`@RequirePermission`注解,即可触发切面类的权限认证逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值