数据权限管理中心 - 基于mybatis拦截器实现

最新推荐文章于 2024-03-17 14:35:40 发布
最新推荐文章于 2024-03-17 14:35:40 发布
阅读量324 收藏
点赞数
分类专栏: 架构 文章标签: 数据权限

转载自:https://www.cnblogs.com/linjunwei2017/p/8920767.html

 

数据权限管理中心

由于公司大部分项目都是使用mybatis,也是使用mybatis的拦截器进行分页处理,所以技术上也直接选择从拦截器入手

 

需求场景

 

第一种场景:行级数据处理

 

原sql:

select id,username,region from sys_user ;

需要封装成:

select * from (
    select id,username,region from sys_user 
) where 1=1 and region like “3210%";

解释

用户只能查询当前所属市以及下属地市数据 其中 like 部分也可以为动态参数(下面会讲到)

 

此场景还有以下情况:

# 判断
select * from (select id,username,region from sys_user ) where 1=1 and region != 320101;
# 枚举
select * from (select id,username,region from sys_user ) where 1=1 and region in (320101,320102,320103);
...

第二种场景:列级数据处理

原sql:

select id,username,region from sys_user ;

用户A可以看到 id,username,region

用户B只能查看 id,username 的值,region的值没有权限查看。

 

应用流程图

images/nziPCRhXndQGpQKQNrJ5cedHSC6XBRTA.png

 

应用链路逻辑图

images/PyDJiBwAKCB8a7s3xJmzxifFJRYWRGez.png

 

技术实现

 

mybatis拦截器

 

在编写mybatis的拦截器之前,我们先来了解下mybaits的拦截目标方法

 

  • 1、Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)

 

  • 2、ParameterHandler (getParameterObject, setParameters)

 

  • 3、StatementHandler (prepare, parameterize, batch, update, query)

 

  • 4、ResultSetHandler (handleResultSets, handleOutputParameters)

 

这里选择StatementHandler 的 prepare 方法作为sql执行之前的拦截进行sql封装,使用ResultSetHandler 的 handleResultSets 方法作为sql执行之后的结果拦截过滤。

 

sql执行前

 

PrepareInterceptor.java

复制代码

/**
 * mybatis数据权限拦截器 - prepare
 * @author GaoYuan
 * @date 2018/4/17 上午9:52
 */
@Intercepts({
        @Signature(type = StatementHandler.class, method = "prepare", args = { Connection.class,Integer.class })
})
@Component
public class PrepareInterceptor implements Interceptor {
    /** 日志 */
    private static final Logger log = LoggerFactory.getLogger(PrepareInterceptor.class);

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {}

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        if(log.isInfoEnabled()){
            log.info("进入 PrepareInterceptor 拦截器...");
        }
        if(invocation.getTarget() instanceof RoutingStatementHandler) {
            RoutingStatementHandler handler = (RoutingStatementHandler) invocation.getTarget();
            StatementHandler delegate = (StatementHandler) ReflectUtil.getFieldValue(handler, "delegate");
            //通过反射获取delegate父类BaseStatementHandler的mappedStatement属性
            MappedStatement mappedStatement = (MappedStatement) ReflectUtil.getFieldValue(delegate, "mappedStatement");
            //千万不能用下面注释的这个方法,会造成对象丢失,以致转换失败
            //MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0];
            PermissionAop permissionAop = PermissionUtils.getPermissionByDelegate(mappedStatement);
            if(permissionAop == null){
                if(log.isInfoEnabled()){
                    log.info("数据权限放行...");
                }
                return invocation.proceed();
            }
            if(log.isInfoEnabled()){
                log.info("数据权限处理【拼接SQL】...");
            }
            BoundSql boundSql = delegate.getBoundSql();
            ReflectUtil.setFieldValue(boundSql, "sql", permissionSql(boundSql.getSql()));
        }
        return invocation.proceed();
    }

    /**
     * 权限sql包装
     * @author GaoYuan
     * @date 2018/4/17 上午9:51
     */
    protected String permissionSql(String sql) {
        StringBuilder sbSql = new StringBuilder(sql);
        String userMethodPath = PermissionConfig.getConfig("permission.client.userid.method");
        //当前登录人
        String userId = (String)ReflectUtil.reflectByPath(userMethodPath);
        //如果用户为 1 则只能查询第一条
        if("1".equals(userId)){
            //sbSql = sbSql.append(" limit 1 ");
            //如果有动态参数 regionCd
            if(true){
                String premission_param = "regionCd";
                //select * from (select id,name,region_cd from sys_exam ) where region_cd like '${}%'
                String methodPath = PermissionConfig.getConfig("permission.client.params." + premission_param);
                String regionCd = (String)ReflectUtil.reflectByPath(methodPath);
                sbSql = new StringBuilder("select * from (").append(sbSql).append(" ) s where s.regionCd like concat("+ regionCd +",'%')  ");
            }

        }
        return sbSql.toString();
    }
}

复制代码

sql执行后

 

ResultInterceptor.java

复制代码

/**
 * mybatis数据权限拦截器 - handleResultSets
 * 对结果集进行过滤
 * @author GaoYuan
 * @date 2018/4/17 上午9:52
 */
@Intercepts({
        @Signature(type = ResultSetHandler.class, method = "handleResultSets", args={Statement.class})
})
@Component
public class ResultInterceptor implements Interceptor {
    /** 日志 */
    private static final Logger log = LoggerFactory.getLogger(ResultInterceptor.class);

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {}

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        if(log.isInfoEnabled()){
            log.info("进入 ResultInterceptor 拦截器...");
        }
        ResultSetHandler resultSetHandler1 = (ResultSetHandler) invocation.getTarget();
        //通过java反射获得mappedStatement属性值
        //可以获得mybatis里的resultype
        MappedStatement mappedStatement = (MappedStatement)ReflectUtil.getFieldValue(resultSetHandler1, "mappedStatement");
        //获取切面对象
        PermissionAop permissionAop = PermissionUtils.getPermissionByDelegate(mappedStatement);

        //执行请求方法,并将所得结果保存到result中
        Object result = invocation.proceed();
        if(permissionAop != null) {
            if (result instanceof ArrayList) {
                ArrayList resultList = (ArrayList) result;
                for (int i = 0; i < resultList.size(); i++) {
                    Object oi = resultList.get(i);
                    Class c = oi.getClass();
                    Class[] types = {String.class};
                    Method method = c.getMethod("setRegionCd", types);
                    // 调用obj对象的 method 方法
                    method.invoke(oi, "");
                    if(log.isInfoEnabled()){
                        log.info("数据权限处理【过滤结果】...");
                    }
                }
            }
        }
        return result;
    }
}

复制代码

其中 PermissionAop 为 dao 层自定义切面,用于开关控制是否启用数据权限过滤。

 

难点

 

  1. 如何在拦截器获取dao层注解内容;

  2. 如何获取当前登录人标识;

  3. 如何传递动态参数;

  4. 需要考虑到与sql分页的优先级。

 

解答

 

拦截器获取dao层注解

 

不同方法的拦截器获取方法稍微有所区别,具体在上面的 PrepareInterceptor.java 与 ResultInterceptor.java 代码中自行查看。

 

获取当前登录人标识

 

由于不同框架或者不同项目,获取当天登录人的方法可能不一样,那么就只能通过配置的方式动态将获取当前登录人的方法传递给权限中心。 配置文件中添加:

# 客户端获取当前登录人标识
permission.client.userid.method=com.raising.sc.permission.example.util.UserUtils.getUserId

然后利用Java反射机制,触发getUserId( )方法。

 

传递动态参数

 

比如用户A只能查询自己单位以及下属单位的所有数据; 配置中心配置的where部分的sql如下:

org_cd like concat(${orgCd},'%')

然后通过PrepareInterceptor.java读取到以上sql,并且通过数据库或者配置文件中设置的参数【orgCd】相关联的方法(类似获取当前登录人标识的方式),提前在权限参数(orgCd)配置好对应的方法路径、参数值类型、返回值类型等。

 

配置文件或者数据库获取到 orgCd 对应的方法路径:

com.raising.sc.permission.example.util.UserUtils.getRegionCdByUserId

当然,现在这样只是简单的动态参数,其余的还需要后续的开发,这里只是最简单的尝试。

 

拓展

 

从产品的角度来说,此模块需要有三个部分组成:

1、foruo-permission-admin 数据权限管理平台 2、foruo-permission-server 数据权限服务端(提供权限相关接口) 3、foruo-permission-client 数据权限客户端(封装API)

 

在结合 应用链路逻辑图 即可完成此模块内容。

 

涉及知识点:

 

  • Mybatis拦截器

  • Java反射机制

 

项目源码

 

码云:https://gitee.com/gmarshal/foruo-sc-permission

相关内容推荐:http://www.roncoo.com/course/list.html?courseName=mybatis

cooking007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java如何利用Mybatis进行数据权限控制详解
08-25
主要介绍了Java如何利用Mybatis进行数据权限控制详解,数据权限控制最终的效果是会要求在同一个数据请求方法中,根据不同的权限返回不同的数据集,而且无需并且不能由研发编码控制。,需要的朋友可以参考下
Java利用Mybatis进行数据权限控制
陈晨_软件五千言
06-06 9298
权限控制主要分为两块,认证(Authentication)与授权(Authorization)。认证之后确认了身份正确,业务系统就会进行授权,现在业界比较流行的模型就是RBAC(Role-Based Access Control)。RBAC包含为下面四个要素:用户、角色、权限、资源。用户是源头,资源是目标,用户绑定至角色,资源与权限关联,最终将角色与权限关联,就形成了比较完整灵活的权限控制模型。 ...
MybatisPlus实现数据权限
最新发布
MichaelZ的博客
03-17 883
MybatisPlus 是一款 Mybatis 的增强工具,它为 Mybatis 提供了丰富的查询接口,大大简化了数据库操作。MybatisPlus 具备代码生成器,支持一键生成 Entity、Mapper、Mapper XML、Service、Controller 等文件,有效提高开发效率。此外,MybatisPlus 还提供了分页插件、性能分析插件等,能够帮助开发者更好地优化数据库操作。
Mybatis拦截器数据权限过滤与分页集成
weixin_34239592的博客
07-21 1013
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot中添加数据级别的权限拦截(包装SQL)
酱紫的博客
06-24 6494
使用mybatis拦截器和aop实现SQL包装 在需要数据权限拦截的controller层添加更新权限列表注解,在mapper层添加开启拦截器的注解 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop&...
foruo-sc-permission-V1.0数据权限管理中心
06-03
数据权限管理中心。由于公司大部分项目都是使用mybatis,也是使用mybatis拦截器进行分页处理,所以技术上也直接选择从拦截器入手
基于SpringBoot+Mybatis实现的校园二手交易跳蚤市场设计源代码+文档说明+数据
11-13
管理员登录后台后可以在首页查看系统日志信息,后台用户设计是基于权限角色管理,实现技术采用的是基于拦截器实现,后台包括资源菜单管理,角色信息管理,用户信息管理,数据库连接池监控,商品分类含二级分类管理,...
基于SpringBoot+Mybatis的校园二手交易跳蚤市场设计
11-01
管理员登录后台后可以在首页查看系统日志信息,后台用户设计是基于权限角色管理,实现技术采用的是基于拦截器实现,后台包括资源菜单管理,角色信息管理,用户信息管理,数据库连接池监控,商品分类含二级分类管理...
基于SpringBoot+Mybatis的校园二手交易跳蚤市场源码(毕设源码,含数据库).zip
06-15
管理员登录后台后可以在首页查看系统日志信息,后台用户设计是基于权限角色管理,实现技术采用的是基于拦截器实现,后台包括资源菜单管理,角色信息管理,用户信息管理,数据库连接池监控,商品分类含二级分类管理...
毕业设计,基于SpringBoot+MyBatis+MySql开发的校园二手交易跳蚤市场,内含Java完整源代码,数据库脚本
01-21
毕业设计,基于SpringBoot+MyBatis+MySql开发的校园二手交易跳蚤市场,内含Java完整源代码,...管理员登录后台后可以在首页查看系统日志信息,后台用户设计是基于权限角色管理,实现技术采用的是基于拦截器实现,后
jorian-framework:即开即用的基于SpringBoot的后台管理系统脚手架,已集成权限管理,文件上传,定时任务,邮件中心,监控中心等模块,前后端项目分离开发,技术栈:SpringBoot+Redis+Mybatis+MPPlus+Mysql+Shiro+JWT,适用于学习和小型项目快速启动
05-14
3.集成mybatis-plus及代码生成器以及SQL拦截技术 4.使用自定义注释完成日志收集,消息队列异步完成存储 5.包含有定时任务,文件中心,邮件中心,监控中心等基础功能 6.集成了rabbitmq,elasticsearch ,适用于学习和轻量级...
wislove:Java服务端API解决方案,处理部分通用业务逻辑。包括用户中心,支付,订单,IM相关,内容管理,角色权限授权。以及分库分表的处理,RPC分布式的解决方案等。人慢慢做
02-04
wislove-gateway:授权管理中心拦截器等 计划使用Java8,学习使用一些新特性,函数式编程和ladad表达式,一些流的运用(我不太会) ps:感觉计划的有点大,有点多,公司项目比较紧,自己又有点懒,
PersonnelManagementSystem:本系统基于Java编程语言开发,采用BS架构,前端以HBuilder作为开发平台,使用Bootstrap框架技术搭建界面,Ajax进行异步请求,jQuery进行DOM操作;后端以Eclipse和MySQL数据库作为开发平台,使用Java开源框架技术SSM,项目管理技术Maven,程序运行容器技术Tomcat进行系统程序开发。实现了用户登录,基础信息管理,人事管理,系统管理,考勤管理,工资管理,员工考勤以及个人信息中心功能
05-07
使用Thymeleaf实现了基于角色的权限控制,并能实时的修改角色的权限。为了实时监控系统的操作情况,项目中使用了spring的AOP实现了系统操作日志。为了增强用户的交互体验,本系统使用前端开源可视化库ECharts对人事...
基于jbpm与activiti的工作流平台技术架构介绍
01-27
系统的报表管理是基于模板来进行设置管理的,目前支持FineReport及Jasper Report两种报表引擎,前者是商业报表,其功能非常强大,可以实现多样式数据呈现方式,支持HTML、PDF、EXCEL、Word、TXT、Flash样式呈,能...
spring-boot示例项目
03-25
该项目包含helloworld(快速入门)、web(ssh项目快速搭建)、aop(切面编程)、data-redis(redis缓存)、quartz(集群任务实现)、shiro(权限管理)、oauth2(四种认证模式)、shign(接口参数防篡改重放)、encoder(用户...
java 数据权限控制_Java利用Mybatis进行数据权限控制
weixin_31491059的博客
02-13 633
权限控制主要分为两块,认证(Authentication)与授权(Authorization)。认证之后确认了身份正确,业务系统就会进行授权,现在业界比较流行的模型就是RBAC(Role-Based Access Control)。RBAC包含为下面四个要素:用户、角色、权限、资源。用户是源头,资源是目标,用户绑定至角色,资源与权限关联,最终将角色与权限关联,就形成了比较完整灵活的权限控制模型。资...
老项目如何改造权限数据权限系统(二 一 一AOP 实现
Mclaughling的博客
04-23 392
老项目如何改造权限数据权限系统(二 一 一AOP 实现) AOP 实现: 1 序言 ​ 在这里,我们接着讲上一次的系统改造,我们需要自定义一个切面注解,来控制需要控制数据权限的接口。 主要思想就是 : - ​ 去用户中心拿到 组织架构:谁 —管理一>谁; - ​ 来查询数据和 人员绑定关系表: 什么(数据)一属于一>谁。 - ​ 最终拿到 数据的ID 查实际数据 2 实现 2.1 数据关系表 注意: ​ 我这里是用的人员来控制数据权限的;有的是用的角色,看具体业务需求,如果是角色
mybatis-plus 数据拦截器
07-20
MyBatis-Plus是一个基于MyBatis的增强工具,提供了许多便捷的功能,其中包括数据拦截器(Data Interceptor)。 数据拦截器MyBatis-Plus提供的一个特性,用于在SQL语句执行前后对数据进行拦截和处理。通过数据拦截...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值