字段权限配置

已于 2022-01-24 14:17:51 修改
阅读量2.7k 收藏 16
点赞数 4
分类专栏: 日常记录 文章标签: java
于 2022-01-24 10:37:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44765388/article/details/122662413
版权

目录

需求

表设计

代码实现

1、配置annotation

2、配置包含敏感数据的接口字段

3、隐藏策略

4、AOP实现拦截

5、其他工具类包下载地址

需求

查询接口时不返回配置的某角色需要隐藏的字段;

表设计

设计思想:AOP

        传统设计:user-->role,role-->authority;

        增加字段权限:user-->role,role-->authority,authority-->block,block-->field;

        一个用户拥有多个角色,后台配置每个角色所拥有的权限,权限与区块一对一,需要过滤的接口上加上区块code绑定,区块与重点字段一对多;

        field表只需要配置某接口可能需要隐藏的字段,某角色需要隐藏该字段时,将保存至role_field表里;

CREATE TABLE `security_field` (
  `id`              bigint(20) NOT NULL COMMENT 'id',
  `block_id`        bigint(20) NOT NULL COMMENT '区块id',
  `name`            varchar(128) DEFAULT NULL COMMENT '字段标题',
  `field`           varchar(128) DEFAULT NULL COMMENT '字段值',
  `rank`            int(11) DEFAULT '0' COMMENT '排序值,从大到小排序',
  `remark`          varchar(128) DEFAULT NULL COMMENT '备注',
  `create_user`     bigint(20) NOT NULL COMMENT '创建人',
  `create_time`     datetime NOT NULL COMMENT '创建时间',
  `modify_user`     bigint(20) NOT NULL COMMENT '更新人',
  `modify_time`     datetime NOT NULL COMMENT '更新时间',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8 COMMENT='字段(配置可能需要隐藏的字段)表';

CREATE TABLE `security_block` (
  `id`              bigint(20) NOT NULL COMMENT 'id',
  `authority_id`    bigint(20) NOT NULL COMMENT '页面id',
  `name`            varchar(128) DEFAULT NULL COMMENT '区块名称',
  `code`            varchar(128) DEFAULT NULL COMMENT '区块编码',
  `rank`            int(11) DEFAULT '0' COMMENT '排序值,从大到小排序',
  `remark`          varchar(128) DEFAULT NULL COMMENT '备注',
  `create_user`     bigint(20) NOT NULL COMMENT '创建人',
  `create_time`     datetime NOT NULL COMMENT '创建时间',
  `modify_user`     bigint(20) NOT NULL COMMENT '更新人',
  `modify_time`     datetime NOT NULL COMMENT '更新时间',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8 COMMENT='区块表';

CREATE TABLE `security_role_field` (
  `id`              bigint(20) NOT NULL COMMENT 'id',
  `role_id`         bigint(20) NOT NULL COMMENT '角色id',
  `block_id`        bigint(20) NOT NULL COMMENT '区块id',
  `field_id`        bigint(20) NOT NULL COMMENT '字段id',
  `create_user`     bigint(20) NOT NULL COMMENT '创建人',
  `create_time`     datetime NOT NULL COMMENT '创建时间',
  `modify_user`     bigint(20) NOT NULL COMMENT '更新人',
  `modify_time`     datetime NOT NULL COMMENT '更新时间',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8 COMMENT='角色字段(配置角色需要隐藏的字段,无则角色所有字段可见)表';

代码实现

1、配置annotation

/**
 * 数据字段权限过滤注解
 * @author cyl
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataFieldScope {

    /**
     * 区块权限编码(规则编码,用来获取规则的配置数据)
     * @return
     */
    String code() default "";

    /**
     * 注意默认处理的接送数据格式为:{   "data": {  "result":   } }   data->result  必须要data跟result节点,否则不处理,若自定义的话,则按自定义处理
     * 这个是用来区分我们处理的json对象的最初开始的节点
     * @return
     */
    String rulePath() default "";

}

2、配置包含敏感数据的接口字段

如员工列表包含敏感字段员工薪资,希望对某些角色不可见;则在接口上加上注解:
@DataFieldScope(code = "TEST_EMPLOYEE_LIST")

block表:增加code为TEST_EMPLOYEE_LIST的一行数据;

field表:增加block_id为上数据的字段为当前薪资的数据;

role_field表:对role_id为6的角色隐藏薪资等字段;

    @DataFieldScope(code = "TEST_EMPLOYEE_LIST")
    @GetMapping("/list")
    @ApiOperation("员工页面")
    @ApiOperationSupport(order = 1)
    @ApiImplicitParam(paramType = Constants.HEADER, dataType = Constants.STRING, name = Constants.AUTHORIZATION, value = "授权token", required = true)
    public Result<QueryPage<EmployeePageVO>> findEmployeePage(EmployeeQuery query) {
        QueryPage<EmployeePageVO> page = employeeApplication.findEmployeePage(query);
        return Result.ok(page);
    }

3、隐藏策略

import lombok.Getter;

/**
 * 策略枚举 1:移除属性,2:替换值
 * @author xialinlin
 */
@Getter
public enum FiledStrategyEnum {
    /**
     * 1:移除属性,2:替换值
     */
    REMOVE_ATTR(1,"移除属性"),
    REPLACE_VALUE(2,"替换值");

    private final Integer type;
    private final String name;

    FiledStrategyEnum(Integer type, String name) {
        this.type = type;
        this.name = name;
    }
}

4、AOP实现拦截

import cn.hutool.core.collection.CollUtil;
import cn.hutool.core.util.ArrayUtil;
import com.cms.admin.annotation.DataFieldScope;
import com.cms.admin.security.Securitys;
import com.cms.commons.model.security.user.LoginUserVO;
import com.cms.commons.util.antpathfilter.AntPathFilterMixin;
import com.cms.commons.util.antpathfilter.AntPathPropertyFilter;
import com.cms.commons.util.antpathfilter.FiledStrategy;
import com.cms.commons.util.antpathfilter.FiledStrategyEnum;
import com.cms.domain.security.field.SecurityBlock;
import com.cms.repository.employee.EmployeeRepository;
import com.cms.repository.security.field.SecurityBlockRepository;
import com.cms.repository.security.field.SecurityFieldRepository;
import com.cms.repository.security.field.SecurityPositionFieldRepository;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.ser.FilterProvider;
import com.fasterxml.jackson.databind.ser.impl.SimpleFilterProvider;
import com.fasterxml.jackson.datatype.jsr310.JavaTimeModule;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;

import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.lang.reflect.Method;
import java.util.ArrayList;
import java.util.List;


/**
 * 数据字段过滤处理
 * @author cyl
 */
@Slf4j
@Aspect
@Component
@RequiredArgsConstructor
public class DataFieldScopeAspect {

    private final String FILTER_NAME = "antPathFilter";

    private final EmployeeRepository employeeRepository;
    private final SecurityBlockRepository blockRepository;
    private final SecurityPositionFieldRepository roleFieldRepository;
    private final SecurityFieldRepository fieldRepository;

    @Pointcut("@annotation(com.cms.admin.annotation.DataFieldScope)")
    public void dataFieldLog() {
    }

    @Around("dataFieldLog()")
    public Object around(ProceedingJoinPoint point) throws Throwable {
        Object result = point.proceed();
        return responseFilterHanlder(point,result);
    }

    private Object responseFilterHanlder(ProceedingJoinPoint joinPoint,Object result) throws IOException {
        MethodSignature signature = (MethodSignature) joinPoint.getSignature();
        Method method = signature.getMethod();

        //获得注解
        DataFieldScope annotation = method.getAnnotation(DataFieldScope.class);
        if (annotation == null) {
            return result;
        }

        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        if (null == requestAttributes) {
            return result;
        }
        HttpServletRequest request = (HttpServletRequest) requestAttributes.resolveReference(RequestAttributes.REFERENCE_REQUEST);
        if (null == request) {
            return result;
        }

        // 获取当前的用户
        LoginUserVO user = Securitys.user(request);
        if (user == null) {
            return result;
        }

        //获取跟数据库中对应的编码
        String code = annotation.code();
        if(StringUtils.isNotBlank(code)){

            //找到当前用户拥有的所有角色,然后通过角色获取需要屏蔽的字段
            List<Long> positionIds =  employeeRepository.findPositionIdByUserId(user.getId());

            //取角色集合 优先级:默认是全部显示,如果有一个角色是显示,一个是不显示的话,则优先显示
//            if(CollUtil.isEmpty(positionIds) || positionIds.size() == 0){
//                throw new IllegalArgumentException("职位暂无权限");
//            }

            //获取当前所属的区块信息
            SecurityBlock block = blockRepository.findByCode(code);
            if(block==null){
                return result;
            }

            //基础重点字段列表
            List<String> baseFieldList = fieldRepository.findFieldByBlockId(block.getId());

            //如果基础字段为空(已经移除的话),则认为不需要控制了
            if(CollUtil.isEmpty(baseFieldList)){
                return result;
            }

            //根据所有角色查找字段,并且该字段是所有角色都存在的字段,则需要纳入过滤中
            List<List<String>> allList = new ArrayList<>();

            for (Long positionId : positionIds) {
                List<String> fieldList = roleFieldRepository.findFieldByPositionIdAndBlockId(positionId, block.getId());
                if(CollUtil.isNotEmpty(fieldList)){
                    allList.add(fieldList);
                }else{
                    //如果多个角色中,只要有一个角色没有排除的字段,则认为都是显示的
                    allList.clear();
                    break;
                }

            }

            //将基础的字段加入进去,只有排除的字段的时候,才需要找共有的
            if(CollUtil.isNotEmpty(allList)){
                allList.add(baseFieldList);
            }else{
                return result;
            }

            //查找所有角色中的排除字段,并且该字段是在基础表中存在,并且所有角色关联的排除表中也存在,则认为是需要排除的
            List<String>  excludeFields =   getListIntersection(allList);

            //如果没有需要过滤的字段则放行
            if(CollUtil.isEmpty(excludeFields)){
                return result;
            }

            String rulePath = annotation.rulePath();
            if(StringUtils.isBlank(rulePath)){
                rulePath = "data.result.";
            }

            List<String> ruleFields = new ArrayList<>();
            //标识默认显示所有字段
            ruleFields.add("**");
            for (String field:excludeFields ) {
                //加入进来的就是需要进行过滤的
                ruleFields.add("!"+field);
            }
            String []  filterFields = ArrayUtil.toArray(ruleFields,String.class);

            ObjectMapper objectMapper = new ObjectMapper();
            objectMapper.addMixIn(Object.class, AntPathFilterMixin.class);
            objectMapper.registerModule(new JavaTimeModule());

            FiledStrategy filedStrategy = new FiledStrategy();
            filedStrategy.setType(FiledStrategyEnum.REMOVE_ATTR.getType());
//            filedStrategy.setType(FiledStrategyEnum.REPLACE_VALUE.getType());
//            filedStrategy.setReplaceValue("*****");
            AntPathPropertyFilter filter = new AntPathPropertyFilter(rulePath,filedStrategy,filterFields);
            FilterProvider filterProvider = new SimpleFilterProvider().addFilter(FILTER_NAME,filter);
            objectMapper.setFilterProvider(filterProvider);

            String argsJson = objectMapper.writeValueAsString(result);
            return objectMapper.readValue(argsJson, signature.getReturnType());
        }
        return result;
    }


    /**
     * 获取在所有集合出现过的元素
     * @param lists 多个集合
     * @return List<String>
     */
    private  List<String> getListIntersection (List<List<String>> lists) {
        if (lists.size() == 1) {
            return lists.get(0);
        }
        List list = new ArrayList(lists.get(0));
        for (int i = 1; i < lists.size(); i++) {
            List<String> temp = lists.get(i);
            list.retainAll(temp);
        }
        return list;
    }


}

5、其他工具类包下载地址

https://download.csdn.net/download/weixin_44765388/77673149

跟我说谢谢小猫
关注
专栏目录
字段权限构件
iPlatForm的博客
02-06 1117
 界面字段信息维护后,进入界面字段权限分配模块。使用该模块将模块的字段权限赋给指定的角色,使该角色能够使用该模块的部分字段。该模块界面如图所示: 该模块的字段信息: 字段名称:在控制业务字段信息维护模块里维护好的字段界面标签汉字。 物理字段名:是在界面元模块里查询语句返回的记录。 界面ID:该字段所在的模块的ID号。 界面
Dynamics CRM字段安全配置文件
bzpfly的博客
04-12 483
在实施Dynamics CRM的过程中,有些需求会提到部分字段针对特殊的人员或者团队进行显示、更新以及创建的需求的控制。这里我们就需要用到字段安全性文件这个功能。此功能针对具体实体的字段进行配置可以达到让不同的用户在同一表单下屏蔽一些敏感信息。下面开始进行字段安全性的配置讲解。 首先我们需要将需要设置字段安全性的字段字段安全性的属性开启 接下来要进行字段安全性的设置, 导航到设置->...
控制字段权限设计(2) --数据库设计
weixin_30640769的博客
06-12 562
权限系统表设计 表设计说明: T_NODETABLE 存储系统的节点信息 权限、角色、条件、对象都存入此张表 只是parentid 和objtype 不同 来标识 此设计最大的好处就是在系统启动的时候可以将每个对象更好的写入缓存中、只需要通过PARENTID 注册每个对象的工厂就ok了。 T_PROPERTYTABLE存储系统的配置信息 ...
BS架构 数据权限--字段权限 设计与实现
niu_mo_wang的专栏
05-10 544
同时,还要考虑IT管理员也可能存在泄露数据的可能性,如何做好BS架构的数据保密,是软件系统很少有做到平台化支持的。配方研发人员 掌握核心配方, 但 交给车间打样、生产时,需要对生产人员进行配方保密,在不影响生产的前提下,不让生产人员 看到 全部配方信息。上述需求,从数据保护的角度上来说,系统可以通过 “字段权限”、“记录集权限”、“维度权限”、“数据加密” 4个层面实现。其中 “记录集权限”、“维度权限” 这两块实现比较简单,本文不再赘述;大致方案见下图,详细方案较复杂,有兴趣的朋友,可联系我沟通交流。
控制字段权限、隐藏字段或者加密字段
BSX_null
09-24 921
字段权限思路:权限配置里面,配一只条字段隐藏字段权限和一条加密字段权限,用户登录之后把权限存在缓存里面,当进行查询时判断用户权限
控制字段权限设计(3) --系统操作演示
weixin_30593443的博客
06-13 220
系统的操作截图: 演示系统权限的的使用 之 创建权限 首先创建一个先的用户testPrivilege 2.创建一个针对文档的条件: 3.输入条件名字、选择类型、描述、选择是否区分大小写,点击保存。 4.创建完条件之后、创建一个创建权限。 5.填写权限内容: 名称、描述、是否可用(如果选择否则此权限不起作...
数据权限-字段权限【实践篇-结合相关业务详细讲解如何实现】(基于若依框架)
lh155136的博客
11-09 2239
理论看这个。
字段权限工具类antpathfilter
01-24
5. **权限配置与管理**:通过配置文件或数据库存储Ant路径规则,可以方便地管理和更新字段权限策略。 综上所述,"字段权限工具类antpathfilter"为开发者提供了一种强大且灵活的工具,通过Ant路径模式匹配来实施字段...
mybatis拦截器实现通用权限字段添加的方法
08-25
MyBatis拦截器实现通用权限字段添加的方法 MyBatis拦截器是一种非常实用的技术,可以用来实现各种复杂的数据库操作。本文将详细介绍如何使用MyBatis拦截器来实现通用权限字段添加,达到灵活、可靠、可维护的数据库...
Sharepoint2013列表视图和字段权限扩展插件.zip_RNM_sharepoint_sharepoint2013
09-21
在这个上下文中,RJRSFieldViewPermission.wsp可能包含了一个自定义字段权限解决方案,用于部署到SharePoint服务器上,使用户能够在站点集或站点级别配置字段和视图权限。 4. **SharePoint.WCFService....
数据权限-数据字段权限设计方案-mybatis(SqlSource)
weixin_42005602的博客
07-13 2555
前言 在上一篇文章 数据权限-数据列权限设计方案-mybatis(BoundSql) 中提到对boundsql修改,在新版mybatis下会失效。本文阐述通过sqlSource注入来达到目标。 分析 boundsql注入失效原因,来看下mybatis中MappedStatement类源码: /** * Copyright 2009-2019 the original author or authors. * * Licensed under the Apache License, Vers
数据权限字段权限设计指南
最新发布
nbsaas-boot基于Request-Response的企业级快速开发框架
06-29 948
数据权限是指用户在信息系统中对数据进行操作的权利和限制。数据权限通常涉及数据的查看、添加、修改和删除等操作。字段权限是指用户对数据表中某些特定字段的访问控制。字段权限可以进一步细化数据权限,使得系统对数据的控制更加精确。
EAS 字段权限控制
tanrt的博客
01-18 1575
https://wenku.baidu.com/view/b27b79673968011ca300919a.html
MySQL数据库字段权限设计
热门推荐
松林羊的博客
08-27 1万+
单纯个人设计,应该有很多不足,有不好的地方可以指出,或者有更好的想法可以评论,一起交流...
JEPLUS之列表字段配置详解上——JEPLUS软件快速开发平台
weixin_34120274的博客
06-14 128
为什么80%的码农都做不了架构师?>>> ...
控制字段权限设计(1)
郴州软件学习www.javaketang.com
06-10 996
如果一个权限控制到页面的字段了可以说此权限已经达到了最小级别了.! 大部分权限只需要做到按钮和系统模块。这样的权限对一般的企业可能是满足的。 但是要想权限不做修改那么就能达到字段控制、这样可以对应客户有些敏感信息需要对某些人可见某些人不可见。 很简单的一个项目管理、报价公司不需要太多人知道只需要项目经理知道、如果不能控制到页面的字段、那么这个时候就会很麻烦。   废话不多说。谈谈我的...
数据权限设计思路_通用数据权限的思考与设计
weixin_39556474的博客
11-20 1290
作者:_liuxxhttp://cnblogs.com/liuyh/p/9774998.html1、数据权限概述1.1、什么是数据权限?数据权限是指对系统用户进行数据资源可见性的控制,通俗的解释就是:符合某条件的用户只能看到该条件下对应的数据资源。那么最简单的数据权限大概就是:用户只能看到自己的数据。而在正式的系统环境中,会有很多更为复杂的数据权限需求场景,如:领导需要看到所有下属员工的客户数据,...
易维清使用技巧:权限精确控制到字段
weixin_34080903的博客
11-18 220
很多易维清软件用户都有这么一个需求:系统不同用户在同一个功能界面可编辑或可浏览的字段信息的权限不同,这个在北京易维清源代码生成器里怎么实现呢? 首先,我得问问为什么要在同一个模块里费劲心思的设置不同权限呢,当然对于传统的手工开发来说,开发一个模块或许会比开发两个模块的工作量少,所以很多功能都往一个模块里加,包括权限。 但是,使用代码生成器就不能用这种思维模式了,由于代码生成器的使用使得模块开发...
mysql 字段权限控制_mysql 学习----->查询,权限字段控制
weixin_34489135的博客
02-18 588
1.统计列分类数目mysql>selectcount(1)fromtest;+----------+|count(1)|+----------+|9|+----------+2.分组统计mysql>selectename,count(1)fromtestgroupbyename;+----------+----------+|ename|count...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值