系统数据权限的实现方案

最新推荐文章于 2024-09-24 14:29:07 发布
最新推荐文章于 2024-09-24 14:29:07 发布
阅读量2.4k 收藏 1
点赞数
文章标签: java 数据库
原文链接:https://yq.aliyun.com/articles/434622
版权

系统数据权限的实现方案


  目前正在开发的OA系统希望实现这样一个需求:每个使用系统的用户具有某种基于工号和组织架构的权限,主要区分为可以查看个人、查看本部门或指定部门以及查看所有。这样的权限控制称之为数据范围。

    对于数据范围的实现主要通过以下方案:

1.配置数据依赖表,数据依赖表中有以下字段:主表的空间、主表、主表别称、依赖表、依赖表别名

数据库表定义如下;

T_sys_table_dependence


wKiom1TGEzuTCrIRAAE--SpHqsk443.jpg

2.mybatis.xml配置拦截器。Mybatis所谓的拦截器的一个作用就是可以拦截某些方法的调用,可以选择在这些被拦截的方法执行前后加上某些逻辑,也可以在执行这些被拦截的方法时执行自己的逻辑而不再执行被拦截的方法。Mybatis拦截器设计的一个初衷就是为了供用户在某些时候可以实现自己的逻辑而不必去动Mybatis固有的逻辑。比如在本方案中即可根据当前用户的数据范围动态的组装成sql作为所有查询sql的附加逻辑。Mybatis拦截器需要实现其接口Interceptor,其接口如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
package  org.apache.ibatis.plugin;
 
import  java.util.Properties;
 
public  interface  Interceptor {
 
   Object intercept(Invocation invocation)  throws  Throwable;
 
   Object plugin(Object target);
 
   void  setProperties(Properties properties);
 
}

    通过该接口定义,可以看出实现一个mybatis拦截器最重要的是实现三述三个接口方法。Intercept方法定义拦截的时候需要实现的逻辑;plugin方法决定是否拦截以及返回的目标对象;而setProperties则是将拦截器配置中的参数信息映射进来。

  本方案中对该接口的实现如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
public  Object intercept(Invocation invocation)  throws  Throwable {
     Object[] args = invocation.getArgs();
     MappedStatement ms = (MappedStatement) args[ 0 ];
     Object parameter = args[ 1 ];
     RowBounds rowBounds = (RowBounds) args[ 2 ];
     int  offset = rowBounds.getOffset();
     int  limit = rowBounds.getLimit();
     List<TabledependenceEntity> list = DataRuleConstants.CACHE_TABLEDEPENDENCEMAP.get(ms.getId());
     if (!CollectionUtils.isEmpty(list)){
         BoundSql boundSql = ms.getBoundSql(parameter);
         String sql = boundSql.getSql().trim();
         //add data rule:yourself logic
         sql = dataruleHandler.addConditionToSql(sql, list);
         BoundSql newBoundSql =  new  BoundSql(ms.getConfiguration(), sql, boundSql.getParameterMappings(), boundSql.getParameterObject());
         copyMetaParameters(boundSql, newBoundSql);
         MappedStatement newMs = copyFromMappedStatement(ms,  new  BoundSqlSqlSource(newBoundSql));
         args[ 0 ] = newMs;
     }
     return  invocation.proceed();
}

  另外,mybatis拦截器还有两个注解特别重要,一个是@Intercepts,其值是一个@Signature数组。@Intercepts用于表明当前的对象是一个Interceptor,而@Signature则表明要拦截的接口、方法以及对应的参数类型。本应用中配置如下:

1
2
@Intercepts ({ @Signature (type = Executor. class , method =  "query" , args = { 
     MappedStatement. class , Object. class , RowBounds. class , ResultHandler. class  }) })

  以上配置的含义是:当Executor代理对象在执行参数类型为MappedStatement、Object、RowBounds和ResultHandler的query方法时,拦截器就会进行拦截,而对其他的请求则直接返回代理对象,而非目标对象。

3.通过配置Mybatis.xml注册拦截器,配置如下:

1
2
3
< plugin  interceptor = "com.fx.oa.module.com.dependence.server.service.impl.DataRuleIntercept" >
             < property  name = "dataruleHandler"  value = "com.fx.oa.module.com.dependence.server.service.impl.DataruleHandler" />
         </ plugin >

  通过以上三个步骤,即实现了一个mybatis的拦截器。

4.下面将会对数据范围实现的逻辑进行介绍,即本文第2段落的内容  

1
//add data rule:yourself logic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
private  String filterSpecialValue(String field, String value) {
         if  ( "deptCode" .equals(field)){
             if ( "1" .equals(value)){
                 return  null ;
             }
             if (DataRuleConstants.VALUE_CURRENTDEPTCODE.equals(value)){
                 value = OAUserContext.getOrgCode();
             }
             //获取当前部门的所有子部门
             orgService = (IOrgService) SpringContextUtil.getApplicationContext().getBean( "orgService" );
             String[] valus = value.split( "," );
             List<String> orgList =  new  ArrayList<String>();
             for (String val : valus){
                 if (StringUtils.isNotEmpty(val)){
                     orgList.addAll(orgService.queryOrgChildCode(val));
                 }
             }
             if (!CollectionUtils.isEmpty(orgList)){
                 for (String org : orgList){
                 value +=  ","  + org;
                 }
             }
         } else  if ( "userCode" .equals(field)){
             if (DataRuleConstants.VALUE_CURRENTUSERCODE.equals(value)){
                 value = OAUserContext.getUserCode();
             }
         }
         return  value;
     }


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
public  String addConditionToSql(String sql, List<TabledependenceEntity> list) {
         TabledependenceEntity td = list.get( 0 );
         String mybatisId = td.getMybatisId();
         String lowerSql = sql.toLowerCase();
         StringBuffer sqlString =  new  StringBuffer();
         List<DataruleEntity> ruleList = getRelatedDatarule(sql, td);
         if (!CollectionUtils.isEmpty(ruleList)){
             String searchTable = td.getTableName();
             String whereSql = lowerSql.split(DataRuleConstants.SQL_ORDERBY)[ 0 ] +  " " ;
             String orderSql =  "" ;
             boolean  containsOrder = lowerSql.contains(DataRuleConstants.SQL_ORDERBY);
             if (containsOrder){
                 orderSql =  " "  + DataRuleConstants.SQL_ORDERBY + lowerSql.split(DataRuleConstants.SQL_ORDERBY)[ 1 ];
             }
             StringBuffer generatedSql = generateDynamicSql(lowerSql, ruleList, td);
             return  (sqlString.append(whereSql).append(generatedSql).append(orderSql)).toString();
         } else  {
             return  sql;
         }
     }

    通过mybatis拦截器为所有查询请求添加并执行额外逻辑,较优雅地实现了DAO底层次的统一处理的封装问题,很好地解决了系统对数据权限的要求。  

更多关于拦截器方面的知识,可以参考以下文章:


Mybatis拦截器介绍及分页插件


MYBATIS 配置文件(转载)




     本文转自 gaochaojs 51CTO博客,原文链接:http://blog.51cto.com/jncumter/1608556,如需转载请自行联系原作者


weixin_34088598
关注
数据权限设计
qq_40664711的博客
03-13 1万+
随着IT新技术不断完善成熟,企业数字化建设得到全面的发展,数据将成为一个创造财富的重要来源,并且越来越多地被视为一项值得重视的企业资产。未来,很多企业之间的竞争,其实也是资源和数据竞争。那么针对数据资产,如何保障它的安全性呢?数据权限管理无疑是必不可少的。数据权限数据源来控制不同的用户能够查看、使用和授权不同的数据数据(其实就是数据表行列的管控),就如同筑起了一道道护城墙,为数据安全提供了保障。
java 项目通用数据权限设计
学海无涯,我用JAVA
05-15 1803
权限一般分为操作权限数据权限操作权限: 菜单,页面,按钮数据权限: 能看到的数据,包括各种页面的数据范围这里不做扩展,其实这里仅仅是最简单的方式,即直接通过限制表达到对于业务表的数据过滤,那么其实我们还可以通过其他方式限制;通过字典组限制,那么exists内部在拼接之前可能需要二次处理;通过sql语句配置限定条件,那么我们需要拼接sql语句,甚至当sql语句中有变量,我们需要解析后,再拼接到sql片段中;
[SQL2005 BI] 数据权限解决方案
weixin_33693070的博客
03-19 167
      转自:http://tech.ddvip.com/2008-08/121991874058535_5.html       BI数据分析是目前企业的热门应用,而对企业来说,权限控制是非常重要的,尤其是作为决策用的企业报表。目前基于微软SQL Server体系的BI架构为Integration Services + Analysis Service + Reporting Servic...
java 后端数据权限解读
最新发布
09-24 846
java 后端数据权限解读,如何控制权限
思考了几年的数据权限终于有解了
weixin_33755649的博客
04-06 1885
2019独角兽企业重金招聘Python工程师标准>>> ...
数据权限的设计与实现系列1——数据权限的设计与思考
学海无涯,行者无疆
10-06 5801
权限控制是一个系统的核心功能,可以分为两类,一类是功能权限,一类是数据权限数据权限又可以进一步分为行级权限和列级权限。功能权限,是指系统用户能进行哪些操作,通常是菜单和按钮权限,如打开订单菜单,查询订单列表,创建新订单。对于功能权限,有标准化的解决方案,也即RBAC,通过权限项、角色、用户三张主表,以及角色-权限项对应关系表和角色-用户对应关系表两张辅助表,一共5张库表即可实现功能权限的功能,系统管理员通过系统界面即可实现灵活的权限分配和维护。
数据权限设计思路_权限设计数据权限
热门推荐
Turn X7
06-22 1万+
任何一个系统中,都离不开权限的设计 权限设计 = 功能权限 + 数据权限+字段权限 【功能权限】:能做什么的问题。如查询、增删改信息【数据权限】:能看到哪些数据的问题。如查看本人、部门团队、区域或者整个公司、甚至整个系统数据【字段权限】:能看到哪些信息的问题。如联系人姓名,但是不能查看到联系人地址、联系人电话这样的 1.功能权限设计 常常是基于RBAC(Role-Based Access Control)的一套设计方案 2.数据权限设计 2.1数据权限设计分析 ...
角色权限实现方案
qq_34287953的博客
02-22 3016
角色权限实现方案 背景 本系统要求不同用户登陆后,可以操作不同的系统功能。所以要求每个登录用户具有不同的角色,每个角色具有不同的权限;同时要求后期添加角色、权限时,不需要修改系统实现逻辑。 角色权限方案 角色权限实现框架有Spring Security与Shiro两种,因Jhispter安全认证采用的Spring Security框架,因此选择Spring Security。 Spring Securit权限认证方式有: 表达式控制 URL 路径权限; 表达式控制方法权限; 使用过滤注解; 动
数据权限就该这么实现(设计篇)
Java技术攻略的博客
03-14 3556
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。首先让我们先看下RBAC模型。
Spring Security 动态权限实现方案
JavaShark的博客
06-24 3377
最近在做 TienChin 项目,用的是 RuoYi-Vue 脚手架,在这个脚手架中,访问某个接口需要什么权限,这个是在代码中硬编码的,具体怎么实现的,松哥下篇文章来和大家分析,有的小伙伴可能希望能让这个东西像 vhr 一样,可以在数据库中动态配置,因此这篇文章和小伙伴们简单介绍下 Spring Security 中的动态权限方案,以便于小伙伴们更好的理解 TienChin 项目中的权限方案。通过代码来配置 URL 拦截规则和请求 URL 所需要的权限,这样就比较死板,如果想要调整访问某一个 URL 所需要
BI数据权限解决方案
05-30
BI数据权限解决方案:介绍sqlserver多维分析中的权限设置
WEB应用 数据权限控制轻量级解决方案
03-12
做到代码低侵入度,在开发时不需要太多关注数据权限控制,可以在应用开发完成后,通过对表和视图定义权限控制策略,然后绑定到登录用户或功能URI上来进行数据权限控制。数据访问控制需要调整时,只需要修改定义的权限策略即可。
通用数据权限管理系统设计
12-10
一个通用的数据权限管理系统的设计,一个doc文档,大家看了自己研究吧~
数据权限通用设计方案
bdfcfff77fa的博客
01-26 945
最近,许多学员反馈项目中需要处理数据权限,但是不知道怎么处理比较合适。这篇手记将针对这个问题,给出一种比较通用且容易扩展的数据权限设计方案。目前流行的权限框架已经有支持数据权限的了,但是需要配置在接口和方法上,扩展性不是很好,那么怎样做能让扩展性最大化呢?很容易想到的就是:将数据权限的控制放到数据库里存储,在权限拦截时先判断接口是否有权访问,在接口有权访问后,接下来根据配置的条件判断是否有权使用指定的参数值。
数据权限方案设计(后端)
用键盘与世界交流
01-26 2082
数据权限设计方案
数据权限方案
A627292959的博客
03-20 305
2.数据内容权限,用户只可以查看数据中的部分字段信息。如果前台服务,通过查询配置信息,决定部分内容是否查询,通过配置文件获取到需要查询字段进行查询字段过滤。通过拦截器在中台服务实现过滤器实现。1.数据所属权限,只能操作自己范围内数据。通过where之后条件进行过滤。通过mybaties拦截器实现
数据权限解决方案
caicongyang
11-06 630
给自己留个坑 一 二 三
企业信息系统权限管理解决方案
权限管理覆盖所有业务数据和操作,包括但不限于菜单权限、按钮操作权限、列表数据权限以及快码操作权限。 业务场景举例: 1. 菜单操作权限:不同角色的用户拥有不同的菜单访问权限,如经销商、中心业务员、大区总监...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值