切面+注解方式实现sql注入,实现数据权限控制

最新推荐文章于 2024-04-17 11:33:08 发布
最新推荐文章于 2024-04-17 11:33:08 发布
阅读量485 收藏 1
点赞数 1
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rrgef/article/details/131806818
版权

前言:诸君谨记,你知道的越多,你就知道越少,良好的代码前篇一律,靠谱的架构,可以让程序开发效率提高,且运行稳如老狗,哈哈,言归正传

        话说面试官问你,你对系统数据权限控制该如何实现,这个...

 那这个问题,就该我们的主角,帅气逼人组合上场了

第一步:理清楚思路,数据权限控制,是每个用户访问系统都需要进行校验的,也就是说具有通用性质。一般我们规定的数据权限的范围分为这么几个场景,全部数据权限、仅查看本人数据、查看本人及部门一下数据、查看部门一下数据。一般分为这么几个数据权限的控制场景。我们可以在角色创建的时候,为其分配数据权限的大小,然后将具体的权限和具体的人员挂钩,实现对每个人数据权限的控制

 第二步:利用注解和继承思想,外加切面等sql注入方法,实现对每个人的数据权限控制

        继承父类,baseEntity,该父类明确声明一个map对象params,通过对params的数据注入,来达到sql注入效果

        编写注解,废话不多说,直接上代码

package com.ruoyi.common.annotation;

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 数据权限过滤注解
 * 
 * @author ruoyi
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataScope
{
    /**
     * 部门表的别名
     */
    public String deptAlias() default "";

    /**
     * 用户表的别名
     */
    public String userAlias() default "";

    /**
     * 权限字符(用于多个角色匹配符合要求的权限)默认根据权限注解@ss获取,多个权限用逗号分隔开来
     */
    public String permission() default "";
}

        切面填充params对象内容

package com.ruoyi.framework.aspectj;

import java.util.ArrayList;
import java.util.List;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.springframework.stereotype.Component;
import com.ruoyi.common.annotation.DataScope;
import com.ruoyi.common.core.domain.BaseEntity;
import com.ruoyi.common.core.domain.entity.SysRole;
import com.ruoyi.common.core.domain.entity.SysUser;
import com.ruoyi.common.core.domain.model.LoginUser;
import com.ruoyi.common.core.text.Convert;
import com.ruoyi.common.utils.SecurityUtils;
import com.ruoyi.common.utils.StringUtils;
import com.ruoyi.framework.security.context.PermissionContextHolder;

/**
 * 数据过滤处理
 *
 * @author ruoyi
 */
@Aspect
@Component
public class DataScopeAspect
{
    /**
     * 全部数据权限
     */
    public static final String DATA_SCOPE_ALL = "1";

    /**
     * 自定数据权限
     */
    public static final String DATA_SCOPE_CUSTOM = "2";

    /**
     * 部门数据权限
     */
    public static final String DATA_SCOPE_DEPT = "3";

    /**
     * 部门及以下数据权限
     */
    public static final String DATA_SCOPE_DEPT_AND_CHILD = "4";

    /**
     * 仅本人数据权限
     */
    public static final String DATA_SCOPE_SELF = "5";

    /**
     * 数据权限过滤关键字
     */
    public static final String DATA_SCOPE = "dataScope";

    @Before("@annotation(controllerDataScope)")
    public void doBefore(JoinPoint point, DataScope controllerDataScope) throws Throwable
    {
        clearDataScope(point);
        handleDataScope(point, controllerDataScope);
    }

    protected void handleDataScope(final JoinPoint joinPoint, DataScope controllerDataScope)
    {
        // 获取当前的用户
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNotNull(loginUser))
        {
            SysUser currentUser = loginUser.getUser();
            // 如果是超级管理员,则不过滤数据
            if (StringUtils.isNotNull(currentUser) && !currentUser.isAdmin())
            {
                String permission = StringUtils.defaultIfEmpty(controllerDataScope.permission(), PermissionContextHolder.getContext());
                dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(),
                        controllerDataScope.userAlias(), permission);
            }
        }
    }

    /**
     * 数据范围过滤
     *
     * @param joinPoint 切点
     * @param user 用户
     * @param deptAlias 部门别名
     * @param userAlias 用户别名
     * @param permission 权限字符
     */
    public static void dataScopeFilter(JoinPoint joinPoint, SysUser user, String deptAlias, String userAlias, String permission)
    {
        StringBuilder sqlString = new StringBuilder();
        List<String> conditions = new ArrayList<String>();

        for (SysRole role : user.getRoles())
        {
            String dataScope = role.getDataScope();
            if (!DATA_SCOPE_CUSTOM.equals(dataScope) && conditions.contains(dataScope))
            {
                continue;
            }
            if (StringUtils.isNotEmpty(permission) && StringUtils.isNotEmpty(role.getPermissions())
                    && !StringUtils.containsAny(role.getPermissions(), Convert.toStrArray(permission)))
            {
                continue;
            }
            if (DATA_SCOPE_ALL.equals(dataScope))
            {
                sqlString = new StringBuilder();
                break;
            }
            else if (DATA_SCOPE_CUSTOM.equals(dataScope))
            {
                sqlString.append(StringUtils.format(
                        " OR {}.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id = {} ) ", deptAlias,
                        role.getRoleId()));
            }
            else if (DATA_SCOPE_DEPT.equals(dataScope))
            {
                sqlString.append(StringUtils.format(" OR {}.dept_id = {} ", deptAlias, user.getDeptId()));
            }
            else if (DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope))
            {
                sqlString.append(StringUtils.format(
                        " OR {}.dept_id IN ( SELECT dept_id FROM sys_dept WHERE dept_id = {} or find_in_set( {} , ancestors ) )",
                        deptAlias, user.getDeptId(), user.getDeptId()));
            }
            else if (DATA_SCOPE_SELF.equals(dataScope))
            {
                if (StringUtils.isNotBlank(userAlias))
                {
                    sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId()));
                }
                else
                {
                    // 数据权限为仅本人且没有userAlias别名不查询任何数据
                    sqlString.append(StringUtils.format(" OR {}.dept_id = 0 ", deptAlias));
                }
            }
            conditions.add(dataScope);
        }

        if (StringUtils.isNotBlank(sqlString.toString()))
        {
            Object params = joinPoint.getArgs()[0];
            if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
            {
                BaseEntity baseEntity = (BaseEntity) params;
                baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");
            }
        }
    }

    /**
     * 拼接权限sql前先清空params.dataScope参数防止注入
     */
    private void clearDataScope(final JoinPoint joinPoint)
    {
        Object params = joinPoint.getArgs()[0];
        if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
        {
            BaseEntity baseEntity = (BaseEntity) params;
            baseEntity.getParams().put(DATA_SCOPE, "");
        }
    }
}

        mybatis实现sql拼接

原理分析:因为每个实体类都继承了具有params属性的map对象,我们通过切面的方式对其put了一个key为deptFrom或deptScope的String对象,该String对象即为控制数据权限的sql语句,通过sql注入的方式,来达到每次访问的时候,对数据访问权限的控制,同时通过注解的方式,大大的减少了代码的编写,节省了时间和简化了开发

 

注:这里需要注意的地方是,该注解是自动获取该方法的第一个参数,然后找到其params属性,对其内容进行填充,所以,存在该注解的方法之上,必须是一个继承了baseEntity的一个实体对象

        最后,还是那句话,前辈的思想可能不是最好的,但是要想开拓还必须的继往,分享给诸君,看到这里了,这个帅哥是不是可以点个赞再走呢

 

 

赖皮蛇化真龙
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot项目使用切面编程实现数据权限管理
weixin_44792849的博客
03-26 2358
springboot项目使用切面编程实现数据权限管理
springboot自定义注解+mybatis拦截器实现数据权限
guaotianxia的博客
12-01 4189
基本所有的系统都会涉及菜单访问权限数据访问权限。对于菜单访问权限一般实现方式都差不多,用户登录时加载具有访问权限的菜单,然后进行展示,用户访问菜单时通过统一的拦截器服务器端再次判断是有具有访问权限,防止前端直接url越权访问;对于细粒度具体到按钮级别的访问控制实现方式也差不多,一个具体到菜单访问url,一个具体到方法访问url,对于菜单访问权限设计实现此文不做过多介绍。对于数据权限,一般需要根据系统实际的业务场景进行设计实现,那些脱离业务谈数据权限都是扯淡的。参与的一个项目,需要实现如下数据权限,可以设
SpringBoot:切面AOP实现权限校验:实例演示与注解全解
最新发布
weixin_42179304的博客
04-17 1034
包名:表示需要拦截的包名,后面的两个句点表示当前包和当前包的所有子包,在本例中指 com.mutest.controller包、子包下所有类的方法。用户请求的 url 为:http://localhost:8080/aop/name,ip地址为:0:0:0:0:0:0:0:1。):这个星号表示方法名,* 表示所有的方法,后面括弧里面表示方法的参数,两个句点表示任何参数。注解相对应,指定的方法在切面切入目标方法之后执行,也可以做一些完成某方法之后的 Log 处理。的值必须要和参数保持一致,否则会检测不到。
基于面向切面sql注入过滤
学习使我快乐
09-30 260
基于面向切面sql注入过滤 人狠话不多, 直接上代码
【java注解--使用注解封装自动拼接sql
qq_35671353的博客
04-23 974
java注解全面解析--实例   使用注解封装自动拼接sql    1、定义注解类 TableName:  用来注解 表名 ,拥有一个属性 value 将适用范围定为:TYPE  Class, interface enum 范围可用 作用时间定为:RetentionPolicy.RUNTIME(运行时存在) fields: 用来注解表字段名,拥有一个属性 value 将适用范围定...
通过切面动态切换数据
weixin_46176823的博客
05-12 592
标题业务场景:大量的项目的数据库需要从db2迁移到oracle,为项目上线后出现不可预料的错误可及时回退,需要可以随时切换数据
Java中的SQL注入简易分析
鸣蜩十四的博客
08-04 3284
Java中的JDBC与Mybatis中的SQL注入简易分析
自定义注解实现拦截sql.rar
10-08
3. 数据安全:动态修改SQL条件时要确保SQL注入的安全性,避免恶意输入导致的漏洞。 4. 代码可读性:过多的注解可能导致代码可读性降低,适当的时候可以考虑封装成服务层方法。 以上就是利用自定义注解实现SQL拦截的...
ssm+自定义标签+自定义注解 实现权限细粒度控制
04-13
SSM(Spring、SpringMVC、MyBatis)框架是Java Web开发中常见的技术栈,它为开发者提供了灵活的依赖注入、模型-视图-控制器(MVC)架构以及SQL映射工具。在这个项目中,开发者尝试模仿Apache Shiro框架,通过自定义...
SSM+Shiro+redis实现权限系统
10-23
首先,Spring框架作为基础,它提供了依赖注入(DI)和面向切面编程(AOP)的能力,使得组件之间的耦合度降低,提高了代码的可测试性和可维护性。SpringMVC是Spring框架的一部分,用于处理Web层的请求和响应,通过...
SpringMVC+Mybatis整合实现简单权限控制系统代码
05-25
这通常通过在方法上添加自定义注解,结合AOP(面向切面编程)实现。 8. **角色与权限关联**:设计RolePermission表存储角色与权限的关系,方便进行角色权限分配。 9. **页面展示与交互**:创建前端界面,使用JSP、...
JAVA简单AOP切面编程;依赖注入;代码配置Bean源码
10-07
JAVA简单AOP切面编程;依赖注入;代码配置Bean源码 JAVA简单AOP切面编程;依赖注入;代码配置Bean源码
SSM+Shiro+Redis实现项目的权限管理
05-06
**Spring**:Spring作为核心的依赖注入(DI)和面向切面编程(AOP)框架,负责管理应用中的对象和组件,提供事务管理、数据源管理等服务。在权限管理中,Spring可以配置AOP切面,用于拦截和处理权限相关的逻辑。 **...
javassist技术研究&Sql注入检测
我的心曾悲伤7次
09-22 985
javassist技术研究
aop实现注解,自动存入数据库功能
SurepMan的博客
08-03 319
在某个controller层的一个的方法上加上注解
系统权限-数据权限案例分析
HarryChenj的专栏
08-08 2252
1.系统权限-基于部门级别的实例实现、分析 2.基于开源的若依系统权限架构 3.数据权限实例实现、分析
SpringAOP之注入AspectJ切面
刘木匠
06-03 3013
Spring In Action中说:“Spring AOP构建在动态代理之上,因此,Spring对AOP的支持局限于方法拦截”
若依ruoyiAOP切面用于数据过滤和权限处理实例
xsj5211314的博客
03-28 7311
介绍若依ruoyi使用AOP编程的实例,用于数据过滤和权限处理
Spring实战09——AOP之注入AspectJ切面
?_#的博客
04-03 509
回顾一下: Spring 的四种4种类型的AOP支持: * 1.基于代理的经典SpringAOP * 2.纯POJO切面 * 3.@AspectJ注解驱动的切面 * 4.注入式AspectJ切面 前三种都是Spring AOP实现的变体,Spring AOP构建在动态代理之上,因此Spring 对AOP 的支持局限于方法拦截器,Spring 的AOP 无法把通知应用于对象的创建过程(构造方法)...
基于ssm+mysql的无纸化考试模拟系统源码数据库.docx
02-29
1. **Spring框架**:Spring作为核心容器,负责管理应用的组件和依赖注入,提供事务管理、AOP(面向切面编程)等功能,确保系统的可扩展性和灵活性。 2. **SpringMVC**:Spring的Web模块,用于构建Web应用程序,处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值