SpringBoot 数据权限新姿势,注解+动态SQL真香!

最新推荐文章于 2025-05-16 11:15:22 发布
最新推荐文章于 2025-05-16 11:15:22 发布
阅读量28 收藏
点赞数
文章标签: spring boot sql 后端 java spring
原文链接:https://mp.weixin.qq.com/s?__biz=MzU4MDUyMDQyNQ==&mid=2247559466&idx=2&sn=73963eae25a317d619ce960381376b54&chksm=fc41128f84a47b64e015cdcc15ff526c5304617bfbdad6bafc79be64aee01139152e752663bf&scene=126&sessionid=0
版权

👉 欢迎加入小哈的星球,你将获得: 专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

  • 新项目:《从零手撸:仿小红书(微服务架构)》 收尾中,基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17..., 点击查看项目介绍;演示地址:http://116.62.199.48:7070/

  • 《从零手撸:前后端分离博客项目(全栈开发)》 2期已完结,演示链接:http://116.62.199.48/;

  • 专栏阅读地址:https://www.quanxiaoha.com/column

截止目前,累计输出 90w+ 字,讲解图 3556+ 张,还在持续爆肝中.. 后续还会上新更多项目,目标是将 Java 领域典型的项目都整一波,如秒杀系统, 在线商城, IM 即时通讯,Spring Cloud Alibaba 等等,戳我加入学习,解锁全部项目,已有3100+小伙伴加入

图片

介绍

easy-data-scop 是一个通过动态注入SQL实现的数据权限项目。支持MyBatis、MyBatis-plus、MyBatis-flex。使用简单,无需设置各种复杂配置,仅仅通过注解便可实现效果功能。

基础项目搭建

1.数据库
图片
图片

这是一张简单的用户表,接下来我们将为这张表编写以下数据权限

  • 仅看id为1的人

  • 仅看年龄为111的人

  • 仅看年龄为222的人

  • 看年龄为111、222的人

2.导入依赖基础依赖 (使用MyBatis-plus、MyBatis XML演示)
<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter</artifactId>
        <version>2.2.1.RELEASE</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <version>2.2.1.RELEASE</version>
    </dependency>
    <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.3.0</version>
    </dependency>
    <dependency>
        <groupId>com.mysql</groupId>
        <artifactId>mysql-connector-j</artifactId>
        <version>8.0.33</version>
    </dependency>
</dependencies>
3.核心依赖
<dependency>
    <groupId>cn.zlinchuan</groupId>
    <artifactId>ds-mybatis</artifactId>
    <version>1.0.1</version>
</dependency>
4.启动类
@SpringBootApplication
publicclassMain{
    publicstaticvoidmain(String[] args){
        SpringApplication.run(Main.class);
    }
}
5.省略编写Mapper、Service
6.application.yml
server:
  port:8001
# DataSource Config
spring:
datasource:
    driver-class-name:com.mysql.cj.jdbc.Driver
    url:url
    username:name
    password:password
mybatis:
mapper-locations:classpath:mapper/*.xml# XML映射文件路径
mybatis-plus:
configuration:
    log-impl:org.apache.ibatis.logging.stdout.StdOutImpl
7.测试
@Autowired
private UserService userService;

@Test
publicvoidtest(){
    
    userService.getAll().forEach(System.out::println);
}
图片
图片

到这里项目就已经搭建完成了

使用 easy-data-scope

图片
图片

实现核心接口DataScopeFindRule 并交由Spring管理

图片
图片 
easy-data-scope` 会去代理 `@DataScope` 方法调用 `find()` 获取到 `DataScopeInfo
DataScopeInfo介绍

easy-data-scope 会根据 find() 方法返回的 DataScopeInfo 列表来构建SQL

图片
图片
@DataScope介绍

可以编写在对应需要数据权限拦截的方法上

属性:

public@interface DataScope {
    /**
     * 通过传递给DataScopeFindRule.find方法来获取指定的数据权限实体
     * @return
     */
    String[] keys();

    /**
     * 构建模板
     * TODO 注意:当key为多个时此值生效
     * key1 ==SQL==> table1.column1 = 1
     * key2 ==SQL==> table2.column2 = 2
     * 示例:template = "{key1} OR {key2}"
     * 通过template生成后的SQL:table1.column1 = 1 OR table2.column2 = 2
     * @return
     */
    String template()default "";

    /**
     * 是否对数据权限进行自动合并
     * 当操作符为 =、!= 时间如果TableName、ColumnName、操作符一样,并且使用的是 Value 形式将会对数据权限进行合并为 IN、NOT IN
     * 示例:
     * 权限1:=、table1、column1、Value1 >>> table1.column1 = Value1
     * 权限2:=、table1、column1、Value2 >>> table1.column1 = Value2
     * 最终合并 in table1、column1、“Value1, Value2" >>> table1.column1 in (Value1, Value2)
     * @return
     */
    booleanmerge()defaultfalse;

    /**
     * 逻辑符
     * 决定数据权限SQL拼接到当前执行的SQL中用的使用的是 WHERE还是AND还是OR..
     * TODO 注意:在flag为true时此值将会失效
     * @return
     */
    String logical()default SqlConsts.AND;

    /**
     * 是否使用数据权限标记位标记位,true是 false否
     * @return
     */
    booleanflag()defaultfalse;
}
图片
图片

实现前文的数据权限

编写DataScopeFindRule find 方法

@Override
public List<DataScopeInfo> find(String[] key){
    // 模拟的用户登陆Session
    UserSessionInfo userSession = UserSessionContext.getUserSession();
    if (userSession != null) {
        // 数据库中查询
        QueryWrapper<AuthDatascopeEntity> idQueryWrapper = new QueryWrapper<>();
        // 查询用户Session中保存用户有哪些数据权限
        idQueryWrapper.in("id", userSession.getDataScopeIds());
        idQueryWrapper.in("datascope_key", key);
        List<AuthDatascopeEntity> authDatascopes = authDataSocpeMapper.selectList(idQueryWrapper);
        // 构建出DataScopeInfo
        List<DataScopeInfo> dataScopeInfos = new ArrayList<>(authDatascopes.size());
        for (AuthDatascopeEntity authDatascope : authDatascopes) {
            DataScopeInfo dataScopeInfo = new DataScopeInfo();
            dataScopeInfo.setKey(authDatascope.getDatascopeKey());
            dataScopeInfo.setOperator(authDatascope.getDatascopeOpName());
            dataScopeInfo.setTableName(authDatascope.getDatascopeTbName());
            dataScopeInfo.setColumnName(authDatascope.getDatascopeColName());
            dataScopeInfo.setSql(authDatascope.getDatascopeSql());
            dataScopeInfo.setValue(authDatascope.getDatascopeValue());
            dataScopeInfo.setSort(authDatascope.getDatascopeSort());
            dataScopeInfos.add(dataScopeInfo);
        }
        return dataScopeInfos;
    }

    return Collections.emptyList();
}
创建数据权限表
-- auto-generated definition
createtable auth_datascope
(
    id                 int auto_increment comment'编号'
        primary key ,
    datascope_key      varchar(200)  nullcomment'数据权限标识' ,
    datascope_name     varchar(200)  nullcomment'数据权限名称' ,
    datascope_tb_name  varchar(500)  nullcomment'数据权限表别名' ,
    datascope_col_name varchar(500)  nullcomment'数据权限字段名' ,
    datascope_op_name  varchar(10)   nullcomment'数据权限操作符' ,
    datascope_sql      varchar(5000) nullcomment'数据权限sql' ,
    datascope_value    varchar(200)  nullcomment'数据权限值' ,
    datascope_sort     int           nullcomment'数据权限排序' ,
    datascope_des      varchar(500)  nullcomment'数据权限描述'
)
    comment'数据权限表';

1.只看Id为1的记录

图片
图片

将对应实体添加到库中,实现动态配置

编写Service

@DataScope(keys = "USER_LIST_ID", logical = SqlConsts.WHERE)
public List<UserEntity> getAll(){
    return userMapper.selectList(null);
}

调用后得到结果

SELECTid,username,age FROMuserWHERE ( user.id = 1)

2.仅看年龄为111的人

图片
图片 
@DataScope(keys = "USER_LIST_AGE111", logical = SqlConsts.WHERE)
public List<UserEntity> getAll2(){
    return userMapper.selectList(null);
}

调用后得到结果

SELECTid,username,age FROMuserWHERE ( user.age = 111)

3.仅看年龄为222的人

图片
图片 
@DataScope(keys = "USER_LIST_AGE222", logical = SqlConsts.WHERE)
public List<UserEntity> getAll3(){
    return userMapper.selectList(null);
}

调用后得到结果

SELECTid,username,age FROMuserWHERE ( user.age = 222)

4.看年龄为111、222的人(merge属性)

其他的不用动,使用注解中的 merge 属性,在keys中将两个前两个key都加上

@DataScope(keys = {"USER_LIST_AGE111", "USER_LIST_AGE222"}, merge = true, logical = SqlConsts.WHERE)
public List<UserEntity> getAll4(){
    return userMapper.selectList(null);
}

调用后得到结果

SELECTid,username,age FROMuserWHERE ( user.age IN (111, 222))

更多操作

@DataScope.flag

Mapper.xml

@DataScope(keys = {"USER_LIST_AGE111", "USER_LIST_AGE222"}, merge = true, flag = true)
List<UserEntity> getAll5();
<selectid="getAll5"resultType="cn.zlinchuan.entity.UserEntity">
    select * from (select * from user where {{_DATA_SCOPE_FLAG}}) t where 1 = 1
</select>

注意 {{_DATA_SCOPE_FLAG}} 为程序定义占位,不能修改

sql

select * from (select * fromuserwhere user.age IN (111, 222)) t where1 = 1
@DataScope.template
@DataScope(keys = {"USER_LIST_AGE111", "USER_LIST_AGE222"}, flag = true, template = "{{USER_LIST_AGE111}} OR {{USER_LIST_AGE222}}")
List<UserEntity> getAll6();
<selectid="getAll6"resultType="cn.zlinchuan.entity.UserEntity">
    select * from (select * from user where {{_DATA_SCOPE_FLAG}}) t where 1 = 1
</select>

sql

select * from (select * fromuserwhere user.age = 111OR user.age = 222) t where1 = 1

项目源码地址

https://github.com/zoulinchuan/easy-data-scope

👉 欢迎加入小哈的星球,你将获得: 专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

  • 新项目:《从零手撸:仿小红书(微服务架构)》 收尾中,基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17..., 点击查看项目介绍;演示地址:http://116.62.199.48:7070/

  • 《从零手撸:前后端分离博客项目(全栈开发)》 2期已完结,演示链接:http://116.62.199.48/;

  • 专栏阅读地址:https://www.quanxiaoha.com/column

截止目前,累计输出 90w+ 字,讲解图 3556+ 张,还在持续爆肝中.. 后续还会上新更多项目,目标是将 Java 领域典型的项目都整一波,如秒杀系统, 在线商城, IM 即时通讯,Spring Cloud Alibaba 等等,戳我加入学习,解锁全部项目,已有3100+小伙伴加入

图片

图片

图片
1. 我的私密学习小圈子,从0到1手撸企业实战项目~
2. 超越 AOP:搜集业务操作日志的 3 个新探索
3. 一文搞懂Redis架构演化之路
4. ChatGPT 对话为什么不用 WebSocket 而使用 EventSource?
最近面试BAT,整理一份面试资料《Java面试BATJ通关手册》,覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。
获取方式:点“在看”,关注公众号并回复 Java 领取,更多内容陆续奉上。
PS:因公众号平台更改了推送规则,如果不想错过内容,记得读完点一下“在看”,加个“星标”,这样每次新文章推送才会第一时间出现在你的订阅列表里。
点“在看”支持小哈呀,谢谢啦
犬小哈
关注
【微服务】springboot 自定义注解+反射+aop实现动态修改请求参数
congge
09-01 1万+
springboot 动态修改请求参数常用方案
自定义注解实现维度数据权限控制springboot + shrio)
唯学习方能解忧
03-04 1516
需求描述: 传统项目中,经常会遇到系统根据用户权限的不同,前台部分数据需要打码或者直接隐藏。而且后台返回的数据也需要模糊处理,不然相当于掩耳盗铃。 文章目录一、思路和要求二、SpringBoot + Jackson序化如何使用 一、思路和要求 思路: 后端会经过序化然后传输到前台,我们需要在序化的时候针对这些需要打码的字段进行特殊处理。 要求: 实现需要有通用性,且最好能做到所有有权限控制的...
细粒度 自定义注解 权限控制具体实现
java相关技术(partner4java专栏)希望对您的学习有所帮助
11-02 4691
第一步:注解和xml一样只是起到一个配置的作用。注解的本身是不可能完成这种拦截功能的。我们后面会通过注册一个驱动了去解析这个注解,完成这个注解背后所代表的功能。注解:public @interface Permission { } 我们这个项目是通过两个属性来代表这个权限的,所以我们这里也需要两个属性。public @interface Permissio
5 - 教你如何实现 JDBC 权限控制springcloud视频教学
m0_60388419的博客
03-27 852
try {rs.close()})= null)3. 根据表的元数据信息,构造表的创建语句,用于构造SchemaRepository" )"})4. 解析SQL的表和下面来看一下整个流程:val sql =“”"
如何在项目中自定义注解实现权限数据管理案例
I wanna be myself, where I Belong.
05-15 815
这里的思路很简单,就是根据权限,动态的给你的SQL后边追加过滤条件。创建一个实体类BaseEntity,里边是一个map叫做params,key就是data_scope,value就是要追加的SQL。然后让每个实体类都继承这个BaseEntity,接口参数传入实体类。利用AOP前置通知给map中放一个SQL语句,mapper中用==${params.data_scope}==追加实现功能。} }让所以的实体类继承上边的BaseEntity。
一种通过注解处理数据权限设计整理
发现问题,面对问题,分析问题,解决问题,总结问题
11-10 726
【1】如果所示,通过注解SQL注入变量的方式去处理数据权限,相对于硬编码的方式这样的处理更加简单。【2】因为筛选条件是通过${}变量注入的方式,所以在当前切面需要进行适当的安全处理,避免出现SQL注入的危险。【3】这种的方式需要配合sys_dept这类的单位/部门表进行关联,可能无法适配其他场景,需要进行适当的调整。【4】当前方式是在ORM框架执行前做切面处理的,除此之外,我们也可以通过类似MyBatis的拦截器机拦截执行SQL进行场景处理。
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
springboot + mybatis +mysql+ sqlserver 双数据源
09-24
本项目"springboot + mybatis +mysql+ sqlserver 双数据源"正是针对这种需求的一个解决方案,它利用SpringBoot框架、MyBatis持久层框架以及MySQLSQLServer两种数据库,实现了数据源的自动切换,以满足不同业务场景...
springboot+mybatis+sqlserver
04-12
【标题】"springboot+mybatis+sqlserver"是一个基于Spring Boot、MyBatis和Microsoft SQL Server构建的基础开发框架,适用于快速开发企业级应用。这个框架整合了三个关键组件,旨在简化开发流程,提高开发效率。 ...
【数据自动脱敏】SpringBoot 实现数据加密脱敏(注解 + 反射 + AOP)
寒潭清
06-25 1404
切入式编程: 将项目中关于用户信息实体类的字段用注解给标记,增用户信息实体类(这里我们用UserBO来表示,给UserBO里面的name,phone字段添加@EncryptField),返回用户信息实体类(这里我们用UserDO来表示,给UserDO里面的name,phone字段添加@DecryptField);傻瓜式编程不是说傻,而是相当于切入式编程,傻瓜式编程需要对用户信息相关的所有接口进行加密,解密脱敏的逻辑处理,这里改动的地方就比较多,风险高,重复操作相同的逻辑,工作量大,后期不好维护;
数据权限的设计与实现2——若依开发平台数据权限设计与实现深度剖析
学海无涯,行者无疆
07-31 1100
在之前的博客《数据权限的设计与思考》中,我们对软件系统的数据权限进行了全面的梳理。 接下来,本文深度剖析主流开源的若依开发平台数据权限是怎么设计与实现的。若依开发平台的数据权限设计比较简易,预置了5种数据范围,具体如下: ● 全部数据权限:所有数据,即不做数据权限控制 ● 部门数据权限:用户自己本部门的数据 ● 部门及以下数据权限:用户自己本部门及子部门的数据 ● 自定数据权限自定义数据权限 ● 仅本人数据权限:自己的数据 从数据范围划分可以看出,平台的数据权限维度主要是部门(部门之外,增加了用户维度的仅
SpringBoot>15 - 自定义注解实现权限控制
热门推荐
cp026la的博客
01-16 1万+
简介: 较原始的项目中使用的是JSP页面标签结合后台方法上注解配合实现权限控制,目前前后端完全分离开发已经是主流模式,大型的项目中可能会用到 shiro 或者 spring security 做安全校验,但是在小型项目中可以使用自定义注解达到权限控制的要求。 误区: 很多人认为权限控制就是控制不同用户在页面上拥有不同的功能(即不同的按钮),这是用户体验范围,这种情况下,只要知道后端地址,还是...
基于自定义注解实现简单的数据权限控制
qq_43159762的博客
11-18 566
基于自定义注解实现简单的数据权限控制 需求: 最近做一个物联网项目,需要使用权限,使每个角色只能操作自己的机器. 前言 1、目前系统拥有3个角色1️⃣:创建者2️⃣管理者3️⃣观察者 权限1⃣️包含2⃣️的所有权限,2⃣️包含3⃣️的所有权限 2、机器与用户为多对多的关系,即一个用户对应多个机器,一个机器对用多个用户. 3、权限表,因为权限简单没有做细分.所以数据库存在userId-roleId-deviceId的关系表. 4、自定义注解一般使用AOP或者过滤器开发,我们这里使用AOP. 开发 1、引入
自定义注解+反射实现角色用户权限到参数层级的控制
weixin_44420897的博客
07-20 173
我想用一个自己写的注解,在已有的接口上加上后就能控制,当前登录用户是否有权限访问这个接口。//前端入参校验 有时会一个接口多用 但是接口的入参不同 此时我们可以获取不同的入参来判断是那种业务请求。//操作按钮权限 }//获取请求头的token 主要用户获取当前用户信息 查询给其配置了哪些角色。//用户关联用户角色表 角色表关联角色权限表 查询出当前用户的权限。UserAuth userAuth //为你获取的当前对象的权限。//获取自定义注解中定义的操作按钮。//获取加了自定义注解的接口 入参。
spring boot 注解
abc
05-14 451
当类不属于注解@Controller和@Service等时,就可以使用注解@Component 来标注这个类。它用于标注配置类,并且可以由Spring容器自动处理。Spring会把被注解@Controller、@Service、@Repository、@Component标注的类纳入Spring容器中进行管理。spring 会把被注解@Controller、@Service、@Repository、@Component 标注的类。它用于声明一个业务处理类(实现非接口类),用于标注服务层,处理业务逻辑。
深入剖析Spring Boot参数校验:实现原理、自定义注解组件与国际化多语言实践
最新发布
weixin_41821642的博客
05-16 356
本文总结了Spring Boot项目中参数校验的重要性及其实现机制。Spring Boot基于JSR-380规范,提供了强大的参数校验功能,支持声明式校验、嵌套校验、分组校验、自定义校验逻辑以及国际化错误消息处理。文章详细解析了Spring Boot参数校验的原理,指出参数校验逻辑主要在RequestResponseBodyMethodProcessor中处理,并通过validateIfApplicable方法执行校验。最终,参数校验的具体逻辑由ConstraintValidator的isValid方法实现
JAVASpring Boot 集成 RDF4J 实现欺诈检测的技术指南
木头
05-16 22
本文介绍了如何在 Spring Boot 项目中集成 RDF4J,并通过 SPARQL 查询实现欺诈检测。RDF4J 是一个用于管理 RDF 数据的 Java 框架,支持数据存储、SPARQL 查询、推理和数据集成。项目核心功能包括 RDF 数据存储、SPARQL 查询支持、数据转换与兼容性、API 和库以及图形用户界面。文章详细展示了如何在项目中添加 RDF4J 依赖,并提供了创建和查询内存中 RDF 模型的示例代码。此外,还演示了如何从文件加载 RDF 数据并执行 SPARQL 查询。
Spring Boot 注解】@SpringBootApplication
weixin_45658815的博客
05-06 1177
Spring Boot 提供的一个注解,通常用于启动类(主类)上,它是三个注解的组合:1.表示该类是一个配置类,等价于 XML 配置文件。2.告诉 Spring Boot 启动自动配置功能,根据类路径下的依赖、配置等自动配置 Spring 应用。3.启动组件扫描,默认扫描当前类所在包及其子包,将标注了如 @Component、@Service、@Repository、@Controller 等注解的类注入 Spring 容器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值