[T系统]手帐02:权限系统 - 数据权限

最新推荐文章于 2022-07-01 18:54:17 发布
最新推荐文章于 2022-07-01 18:54:17 发布
阅读量319 收藏
点赞数
分类专栏: T手帐 文章标签: T文记02 数据权限 T手帐02
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/su15992018789/article/details/78933579
版权

● 开发环境:Eclipse+Tomcat+MySQL+SVN
● 系统架构:JQuery+Bootstrap+JFinal+Memcache

概述:每次执行查询时,会从数据权限表中获取需要权限的字段,然后从session中取出当前用户的数据权限进行,拼接sql语句进行查询数据的控制;

1:登录时将数据权限列表放到session中

//****************************只截取数据权限相关代码,登录详细代码见:T手帐01*****************************
public class SystemUtil{
    /**
     * 方法描述:初始化用户权限
     */
    @DataSource(type=DataSourceMap.MASTER)
    public static void initDataAndSource(Controller con,IUserDataService userDataService,Users user){
        //获取用户数据权限,如果Ioc为空则手动实例化一个,因为拦截器调用了此方法
        if(userDataService == null){
            IUserDataService userDS = new UserDataServiceImpl();
            userDataAuthority = userDS.getUserDataByUser(user); //非职能部门的校区可以用key为schoolIds取值
        }else{
        //*****************************查询方法见下**************************************
            userDataAuthority = userDataService.getUserDataByUser(user);//非职能部门的校区可以用key为schoolIds取值
        }
        //将数据权限放到session中
        con.setSessionAttr("userDataAuthority", userDataAuthority);
    }
@Service.BY_TYPE
public class UserDataServiceImpl implements IUserDataService {
    /**
     * 方法描述:查询数据权限
     */
    @Override
    public Map<String, Object> getUserDataByUser(Users user) {
        Map<String, Object> map = new HashMap<String, Object>();
        //************************查询角色数据权限/个人数据权限*****************************
        List<UserData> userDataList = UserData.dao.queryUDListGroupByColumn(user);
        if(userDataList != null){
            for(UserData ud:userDataList){
                map.put(ud.getStr("udColumnName"), ud.getStr("udColumnId"));
            }
        }
        //权限部门卡控时,检出非职能部分的校区
        String schoolIds = Department.dao.schoolIds((String)map.get("deptId"));
        map.put("schoolIds", schoolIds);
        return map;
    }
}

tb_user_data
这里写图片描述
这里写图片描述

/**
 * 类描述:用户数据权限实体类
 */
@ModelAnno(tableName="tb_user_data",primaryKey="udId", prefix = "ud")
public class UserData extends ExXhModel<UserData> {

    public static final UserData dao = new UserData();

    // 页面传值,每个子项包括[daColumnId,daColumnName]
    @Getter@Setter
    private String[] idValueAndColumn;

    //用户ID
    @Getter@Setter
    private Integer userId;

    /**
     * 方法描述:
     */
    public List<UserData> queryUDListGroupByColumn(Users user){
        StringBuffer sql = new StringBuffer("NOPERMISSION ");
        StringBuffer sql2 = new StringBuffer("NOPERMISSION ");
        //从查询岗位数据管理的结果
        sql.append(" SELECT da.daColumnName AS 'udColumnName',CONCAT(GROUP_CONCAT(DISTINCT da.daColumnId),IFNULL(IF(daColumnName='deptId',(SELECT CONCAT(',',GROUP_CONCAT(deptId)) FROM tb_department WHERE deptType != 2),''),'')) AS 'udColumnId' FROM ");
        sql.append(" tb_user u LEFT JOIN tb_data_role dr ON u.userDataRoleId = dr.drId LEFT JOIN tb_data_authority da ON dr.drId = da.drId LEFT JOIN tb_data_authority_time dat ON da.daId = dat.datDaId  ");
        sql.append(" WHERE ((CASE WHEN dat.datIsLoop = 0 THEN (dat.datStartDate <= NOW()) AND (NOW() <= dat.datEndDate) WHEN dat.datIsLoop = 1 THEN (DAY(dat.datStartDate) <= DAY(NOW())) AND (DAY(NOW()) <= DAY(dat.datEndDate)) END )OR (dat.datStartDate IS NULL AND dat.datEndDate IS NULL)) ");
        sql.append(" AND u.userId = "+user.getInt("userId"));
        sql.append(" GROUP BY da.daColumnName ");
        //从用户自己数据管理的结果
        sql2.append(" SELECT ud.udColumnName AS 'udColumnName',CONCAT(GROUP_CONCAT(DISTINCT ud.udColumnId),IFNULL(IF(udColumnName = 'deptId',(SELECT CONCAT(',', GROUP_CONCAT(deptId)) FROM tb_department WHERE deptType != 2 AND deptId IS NOT NULL),''),'')) AS 'udColumnId' FROM ");
        sql2.append(" tb_user u LEFT JOIN tb_user_data ud ON u.userId = ud.userId LEFT JOIN tb_user_data_time udt ON ud.udId = udt.udtUdId ");
        sql2.append(" WHERE ((CASE WHEN udt.udtIsLoop = 0 THEN (udt.udtStartDate <= NOW()) AND (NOW() <= udt.udtEndDate) WHEN udt.udtIsLoop = 1 THEN (DAY(udt.udtStartDate) <= DAY(NOW())) AND (DAY(NOW()) <= DAY(udt.udtEndDate)) END) OR (udt.udtStartDate IS NULL AND udt.udtEndDate IS NULL)) ");
        sql2.append(" AND u.userId ="+user.getInt("userId"));
        sql2.append(" GROUP BY ud.udColumnName");
        //*****如果用户"无修改"或"修改了操作权限"(没有修改数据权限),则直接取角色(tb_data_authority)的权限,否则取个人数据权限(tb_user_data)******
        if(user.getInt("userIsSpecial") == SecurityConstants.userPowerType.UPDATE_SECURITY_NO || user.getInt("userIsSpecial") == SecurityConstants.userPowerType.UPDATE_SECURITY_MANAGER){
            return this.find(sql.toString());
        }else{
            return this.find(sql2.toString());  
        }   
    }
}

2:执行查询时,再拼接sql语句的限制条件

  • 每次访问都会先经过DateJurisdictionInterceptor拦截器:
public  class DateJurisdictionInterceptor implements Interceptor {
    public  final static ThreadLocal<Map<String, String>> jurisdictionSession = new ThreadLocal<Map<String, String>>();
    public  final static ThreadLocal<Map<String, Map<String, String>>> tableconfigureSession = new ThreadLocal<Map<String, Map<String, String>>>();
    private ITableConfigureService service = new TableConfigureServiceImpl();
    @Override
    public void intercept(ActionInvocation ai) {
        Controller controller = ai.getController();
        Map<String, String> map = controller.getSessionAttr("userDataAuthority");
        Map<String, Map<String, String>> tablemap = service.getTableConfige();
        //-------------》添加可配置属性
        Properties proes = new Properties();
        InputStream in = this.getClass().getResourceAsStream(".."+File.separator+".."+File.separator+".."+File.separator+".."+File.separator+"applicationResources.properties");
        try {
            proes.load(in);
        } catch (IOException e) {
            e.printStackTrace();
        }
        if(proes.get("userDataAuthority_switch").equals("off")){
            map = null;
            tablemap = null;
        }
        //《--------------结束
        jurisdictionSession.set(map);
        tableconfigureSession.set(tablemap);
        ai.invoke();
        jurisdictionSession.remove();
        tableconfigureSession.remove();
    } 

}
这里的两个线程局部变量的含义:
1) jurisdictionSession(ThreadLocal<Map<String, String>>)是当前用户的全部数据权限,
如:entry(“cityId”,“1”)、entry(“cityId”,“2”)
表示此用户具有city基础表的id为1和2的两个城市的数据查询权限,
结合上面的tb_user_data表更容易理解;

2 ) tableconfigureSession(ThreadLocal<Map<String, Map<String, String>>>)则是保存此系统的所有基础表及其表中需要权限控制的字段(tb_sys_table_configure),
如:entry(“tb_course_templet” ,(entry(“cityId”,“cityId”),entry(“deptId”,“deptIds”))),entry(“tb_finance_group” ,(entry(“cityId”,“fgCityId”),entry(“deptId”,null))),
这里的key和value都是“cityId”,但意义不同,前者是系统统一的“城市”字段,后者是每个表中的“表示城市字段的列名”,
结合下面的表tb_sys_table_configure更容易理解;

tb_sys_table_configure
这里写图片描述
这里写图片描述

  • 经过上述的拦截器后,已把该用户的数据权限都放到本次访问的线程中,在执行find()等方法进行查询时,会根据该数据权限拼接sql语句以达到查询数据的过滤;
/**
 * 继承JFinal的Model
 */
public abstract class ExXhModel<M extends XhModel>  extends XhModel<M> implements Cloneable{
    private static final TableInfoMapping tableInfoMapping = TableInfoMapping.me();

    /**
     * 重写 model父类的方法 (查询前拼接数据权限)
     */
    @Override
    public List<M> find(String sql, Object... paras) {
        try {
            boolean flag = true;
            for (int i=0; i<paras.length; i++) {
                if(paras[i]!=null&&paras[i].toString().indexOf(TableConfigureConstants.NOPERMISSION)>-1){
                    flag = false;
                    break;
                }
            }
            String where = "";
            if(flag){
                //********************拼接数据权限*******************
                where = getPermissionWhere(sql);
            }
            String sql1 = setPermissionWhere(where, sql);
            String sqlselect = sql1.replace(TableConfigureConstants.NOPERMISSION, "");
            return super.find(sqlselect,paras);
        } catch (Exception e) {
            throw new ActiveRecordException(e);
        } 
    }

    /**
    * @Title: getPermissionWhere
    * @Description: 根据sql语句获取权限sql条件
    */ 
    private static String getPermissionWhere(String sql){
        if(sql.indexOf(TableConfigureConstants.NOPERMISSION)<0){
            Map<String, String> map = DateJurisdictionInterceptor.jurisdictionSession.get();
            Map<String, Map<String, String>> tablemap = DateJurisdictionInterceptor.tableconfigureSession.get();
            if(map!=null){
                String where = ""; 
                String sql2 = sql.toLowerCase();
                Pattern p = Pattern.compile("\\btb_\\w*\\b");
                Matcher m = p.matcher(sql);
                while (m.find()){ 
                    String tableName = m.group();
                    Map<String, String> map2 = tablemap.get(tableName);
                    int subscript = m.end();
                    for (String key : map.keySet()) {//遍历数据权限
                            Pattern pat = Pattern.compile("\\b[a-zA-Z]\\w*\\b");
                            String str = "";
                            String sql3 = sql2.substring(subscript);
                            if(!StringUtil.stringIsNull(sql3)){
                                Matcher mat = pat.matcher(sql2.substring(subscript));
                                if(mat.find()){
                                    str = mat.group();
                                }
                            }
                            //******************此处拼接, 如:cityId IN (1,2,3)**********************
                            where += addSql(str, map2, map, key,tableName);
                        }
                }
                return where;
            }
        }
        return "";
    }

    /**
    * @Title: addSql
    * @Description: 拼SQL,如:cityId IN (1,2,3);
    */ 
    private static String addSql(String str,Map<String, String> map,Map<String, String> jurisdictionMap,String key,String tableName){
        if(map!=null){
            String _key = key; 
        if("schoolIds".equals(_key)){
            return "";
        }
        String KEY =  map.get(_key); //字段名称 cityId
        String type = map.get(_key+"Type");
        String sql = "";
        if(str.contains("left")||str.contains("right")||str.contains("join")||str.contains(" as ")||str.contains("where")||str.contains("on")||str.contains("inner")){
            if(!StringUtil.stringIsNull(KEY)){

                if("1".equals(type)){
                    if(XhModel.hasColumnLabel(KEY, tableName)){//sql语句中有需要控制权限的表
                        String str1  = jurisdictionMap.get(key);
                        String[] ids = str1.split(",");
                        for (String id : ids) {
                            sql += " or  instr("+KEY+","+id+")>0 ";
                        }
                        sql = sql.substring(sql.indexOf("or")+2, sql.length());
                        sql = " and ("+sql+" or ISNULL("+KEY+") )";
                    }
                }else{
                    if(XhModel.hasColumnLabel(KEY, tableName)){//sql语句中有需要控制权限的表
                        sql = " and ("+KEY+" in ("+jurisdictionMap.get(key)+")  or ISNULL("+KEY+") ) ";
                    }
                }
            }
        }else{
            if(!StringUtil.stringIsNull(KEY)){
                if("1".equals(type)){
                    if(XhModel.hasColumnLabel(KEY, tableName)){//sql语句中有需要控制权限的表
                        String str1  = jurisdictionMap.get(key);
                        String[] ids = str1.split(",");
                        if(StringUtil.stringIsNull(str)){
                            for (String id : ids) {
                                sql += " or  instr("+KEY+","+id+")>0 ";
                            }
                        }else{
                            for (String id : ids) {
                                sql += " or  instr("+str+"."+KEY+","+id+")>0 ";
                            }
                        }
                        sql = sql.substring(sql.indexOf("or")+2, sql.length());
                        if(StringUtil.stringIsNull(str)){
                            sql = " and ("+sql+" or ISNULL("+KEY+") )";
                        }else{
                            sql = " and ("+sql+" or ISNULL("+str+"."+KEY+") )";
                        }
                    }
                }else{
                    if(XhModel.hasColumnLabel(KEY, tableName)){//sql语句中有需要控制权限的表
                        if(StringUtil.stringIsNull(str)){
                            sql = " and ("+KEY+" in ("+jurisdictionMap.get(key)+") or ISNULL("+KEY+") )";
                        }else{
                            sql = " and ("+str+"."+KEY+" in ("+jurisdictionMap.get(key)+") or ISNULL("+str+"."+KEY+"))";
                        }
                    }
                }
            }
        }
            return sql;
        }else{
            return "";
        }
    }
}

最终拼接结果为:

SELECT * FROM tb_city WHERE cityId IN (1, 2, 3) OR ISNULL(cityId)
后端拼接的cityId IN (1, 2, 3, 4, 5) OR ISNULL(cityId)即可达到数据控制的效果,即此用户只有id为1,2,3的城市的数据权限(查询表格的“表示城市的字段”有可能为NULL)。

顺带一提:在Controller上贴@Before(DateJurisdictionInterceptor.class)注解表示此控制器下的所有方法都要经过里面的拦截器;

@ControllerAnno(controllerkey = "/adminClass")
@Before({LoginInterceptor.class,DateJurisdictionInterceptor.class})
public class AdminClassController extends MyController {

    private IClassService classService = new ClassService();

    ......
}
村长隔壁家的苏大猫
关注
专栏目录
数据权限-数据字段列权限设计方案-mybatis(SqlSource)
weixin_42005602的博客
07-13 2514
前言 在上一篇文章 数据权限-数据权限设计方案-mybatis(BoundSql) 中提到对boundsql修改,在新版mybatis下会失效。本文阐述通过sqlSource注入来达到目标。 分析 boundsql注入失效原因,来看下mybatis中MappedStatement类源码: /** * Copyright 2009-2019 the original author or authors. * * Licensed under the Apache License, Vers
[T系统]手帐01:权限系统 - 按钮权限
su15992018789的博客
12-28 824
登录验证通过后,根据登录者获取该用户的数据权限和按钮权限,放到session中,发送的每条请求都经过LoginIntercept拦截器,将当前用户的权限信息放到响应中,跳转页面时会先加载一个jsp通用包含的文件header.inc,经过方法处理后将没有权限的按钮屏蔽掉再编译jsp页面,实现按钮权限控制。
【T+】非主管操作员查询科目余额表提示 权限配置异常,没有[AccountDTO]数据权限
似水无痕
07-01 540
T+非主管操作员查询科目余额表提示 权限配置异常
代码设计篇—数据权限拼装sql通用解决方案
weixin_45497155的博客
05-07 1068
笔者最近仿照PageHelper写了一个拼装sql的组件,需要灵活拼装多个字段,在遇到多子查询时难以做到通用。笔者最终放弃对sql进行截取拼装,想了一个比较讨巧的方案,仿照Mybatis自定义一个特殊字符,然后在拦截器里替换。不过这种方案也比较坑,需要在sql里列出要过滤的字段,等笔者想出更好的方案时再进行补充,下面先看下用特殊字符的方案。 @Component @Intercepts( ...
参数驱动SQL(三)数据范围权限 [附源码]
Codefan的博客
08-06 1178
动机 业务系统开发过程中经常会面对数据范围权限的问题,比如:部分敏感字段只有领导能开、某些业务只能看自己经手的或者只能看自己所在部门的等等。归纳起来和关系数据库相关的数据范围权限可以分为两类: 字段权限,通常有称为列权限数据范围权限,通常称为行权限。 参数驱动sql通过两种方式来解决权限问题一、条件标签语句;二、外部顾虑条件。 条件标签语句 在参数驱动SQL(一)sql语句拼...
ios解析多重嵌套json
LVXIANGAN的专栏
05-21 8813
IOS 5 解析Json 作为一种轻量级的数据交换格式,json正在逐步取代xml,成为网络数据的通用格式 从ios5开始,apple提供了对json的原生支持,但为了兼容以前的ios版本,我们仍然需要使用第三方库来解析 常用的ios json库有json-framework、JSONKit、TouchJSON等,这里说的是JSONKit JSONKit的使用相当简单,从github.
[T系统]手帐04:无痕记录系统相关"导出"的日志
su15992018789的博客
01-05 350
项目后期无痕追加“导出”的日志,记录导出者,导出时间,导出URL等信息;
LemonJournal-微信小程序Demo:柠檬手帐 - 界面精美的图片编辑应用,支持图片和文字的移动、旋转、缩放、保存编辑状态并生成预览图.zip
09-23
}编辑状态的保存一篇手帐包含的组件类型包括 sticker(软件自带的贴纸)、image(用户上传的图片)和 text(自定义文字)三种,全部保存在一个如下格式的 json 对象中,每个独立组件都包含了一个不重复的 id 以及...
LemonJournal:基于Wafer2框架的微信小程序演示-微信小程序演示:柠檬手帐-界面简洁的图片编辑应用,支持图片和文字的移动,旋转,缩放,保存编辑状态并生成预览图
03-04
柠檬杂志 该项目基于框架开发,后台采用腾讯云提供的Node.js SDK接收对象存储API,前端核心代码实现了图片编辑器的功能,支持图片和文字的移动,旋转,缩放,生成预览图以及编辑状态的保存,动画部分采用CSS动画实现...
2021最新手账系列-旅行手帐.pdf
05-04
2021最新手账系列-旅行手帐.pdf
数据权限实现(Mybatis拦截器+JSqlParser)
为了更美好的明天。
04-18 2万+
由于本人才疏学浅,刚刚入门。本文章是我在实现数据权限的过程中的学习体会。 总体思想 一、Mybatis拦截器 参考:Mybatis中文官网 引用官网说明: MyBatis 允许你在已映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括: Executor (update, query, flushStatements, c
接口自动化之requests学习(六)--获取session,并传到下一个请求中
doulihang的博客
10-13 4764
本次分享一段代码,将获取session的方法和unittest框架相结合 #!usr/bin/env python #-*- coding:utf-8 -*- """ @author:Administrator @file: requests_post.py @time: 2018/10/13 """ import requests import json import unittest c...
数据权限设计(转载)
热门推荐
uzong
01-01 2万+
一、前言 几乎在任何一个系统中,都离不开权限的设计,权限设计 = 功能权限 + 数据权限,而功能权限,在业界常常是基于RBAC(Role-Based Access Control)的一套方案。而数据权限,则根据不同的业务场景,则权限却不尽相同,应该根据具体的场景巧妙设计; 且必须在项目开始时进行设计,不像功能权限一样,在项目结束的时候在追加。 注:更细还可以加入字段权限 1.1 权限...
shiro 进行权限管理 —— 用户登录认证
深页
05-23 2830
本文介绍用户的认证,认证通过三个参数进行:用户名,密码和验证码。首先介绍认证的业务流程和实现方法,再介绍 shiro 的认证流程和原理,并加以实现。
Java利用Mybatis进行数据权限控制
weixin_37842058的博客
03-26 244
权限控制主要分为两块,认证(Authentication)与授权(Authorization)。认证之后确认了身份正确,业务系统就会进行授权,现在业界比较流行的模型就是RBAC(Role-Based Access Control)。RBAC包含为下面四个要素:用户、角色、权限、资源。用户是源头,资源是目标,用户绑定至角色,资源与权限关联,最终将角色与权限关联,就形成了比较完整灵活的权限控制模型。 资源是最终需要控制的标的物,但是我们在一个业务系统中要将哪些元素作为待控制的资源呢?我将系统中待控制的资源分为三
自定义SQL拦截器
muguazhi的博客
01-04 1710
package com.demo.common.interceptor; import com.fasterxml.jackson.databind.DeserializationFeature; import com.fasterxml.jackson.databind.JavaType; import com.fasterxml.jackson.databind.ObjectMapper; import com.google.common.collect.Lists; import com.goog.
接口Session的获取,存放和清除
weixin_38387649的博客
06-13 1218
import org.apache.shiro.session.Session; 一,Session的获取 Session session = Jurisdiction.getSession(); -------------------------------------------- SecurityUtils类 1.user对象 user.setUSER_ID(pd.g...
小觅APP:个性化定制旅行电子手帐,寻景探春,规划自由行
此外,我们还提供了强大的数据分析和推荐功能,通过分析用户的历史旅行数据,推荐更符合用户个性化需求的旅行方案和产品。 针对市场竞争,我们制定了详细的市场推广和运营策略。首先,我们将通过线上线下多渠道推广...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值