分析AOP 类DataScopeAspect 对于全部权限、自定义权限、仅本人权限最终添加的SQL 语句

已于 2022-11-03 20:37:12 修改
阅读量726 收藏 1
点赞数
文章标签: linux 运维 服务器
于 2022-11-03 17:01:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61845680/article/details/127671591
版权

目录

1.仅本人权限分析

1.1设置为仅本人权限

1.1.1当前用户权限(本部门数据权限)

 1.1.2 设置用户权限为仅本人数据权限

 1.1.3 我们可以发现当前权限已经改变

 1.2 后端代码分析

2.全部权限分析

2.1设置为全部数据权限

2.1.1设置用户权限为全部数据权限

 2.1.2 我们可以发现当前权限已经改变

 2.2 后端代码分析

3.自定义权限

3.1设置为自定义数据权限

3.1.1设置用户权限为自定义数据权限

 3.1.2 我们可以发现当前权限已经改变​编辑

 3.2后端代码分析

1.仅本人权限分析

1.1设置为仅本人权限

1.1.1当前用户权限(本部门数据权限)

 1.1.2 设置用户权限为仅本人数据权限

 1.1.3 我们可以发现当前权限已经改变

 1.2 后端代码分析

(1)在后端控制台我们可以看到如下的条件筛选,但是在SysUserMapper.xml中的select语句我们只能看到一个筛选条件,但是下面有一个很突兀的“${params.dataScope}”,说明这东西是“and (u.user_id=2)”

 

我们可以看到倒数第二行${params.dataScope}就是对数据范围进行过滤

其中,params指的是parameterType="SysUser"传来的参数 SysUse的一个属性,然后这个属性的dataScope属性。

既然params.dataScope通过占位符嵌入在这里,那么他肯定是一个sql语句。我们返回到sysUser实体类中,发现sysUser中并没有params 这个属性。

这里我们可以看到SysUser继承了BaseEntity,果然我们在BaseEntity这个类中发现了 params 这个属性

public class BaseEntity implements Serializable
{
    private static final long serialVersionUID = 1L;

    /** 搜索值 */
    private String searchValue;

    /** 创建者 */
    private String createBy;

    /** 创建时间 */
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private Date createTime;

    /** 更新者 */
    private String updateBy;

    /** 更新时间 */
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private Date updateTime;

    /** 备注 */
    private String remark;

    /** 请求参数 */
    private Map<String, Object> params;

 (2)我们在监测@DataScope 的切面类DataScopeAspect中

    /**
     * 仅本人数据权限
     */
    public static final String DATA_SCOPE_SELF = "5";
            else if (DATA_SCOPE_SELF.equals(dataScope))
            {
                if (StringUtils.isNotBlank(userAlias))
                {
                    sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId()));
                }
                else
                {
                    // 数据权限为仅本人且没有userAlias别名不查询任何数据
                    sqlString.append(StringUtils.format(" OR {}.dept_id = 0 ", deptAlias));
                }
            }

可以看到因为设置的仅本人权限,执行的是这段代码,等效于or u.user_id =2;

(3)再通过以下代码将   

OR u.user_id = 2  转为 AND (u.user_id = 2)  

if (StringUtils.isNotBlank(sqlString.toString()))
        {
            Object params = joinPoint.getArgs()[0];
            if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
            {
                BaseEntity baseEntity = (BaseEntity) params;
                 baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");
//将完成好的sql语句放在实体类 params的 dataScope属性中 这个属性是一个Map
            }
        }

 (4)返回给最开始那个感觉到突兀的${params.dataScope}中去;

2.全部权限分析

2.1设置为全部数据权限

2.1.1设置用户权限为全部数据权限

 2.1.2 我们可以发现当前权限已经改变

 2.2 后端代码分析

(1)在后端控制台查看,因为是全部权限,所以不会额外添加筛选条件

(2)DataScopeAspect中并未对sql语句做拼接处理

if (DATA_SCOPE_ALL.equals(dataScope))
            {
                sqlString = new StringBuilder();
                break;
            }

 (3)所以${params.dataScope}中并没有内容。

3.自定义权限

3.1设置为自定义数据权限

3.1.1设置用户权限为自定义数据权限

 3.1.2 我们可以发现当前权限已经改变

 3.2后端代码分析

(1)查看控制台 

 (2)在DataScopeAspect中,执行以下代码

else if (DATA_SCOPE_CUSTOM.equals(dataScope))
            {
                sqlString.append(StringUtils.format(
                        " OR {}.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id = {} ) ", deptAlias,
                        role.getRoleId()));
            }

 (3)   执行以下代码

if (StringUtils.isNotBlank(sqlString.toString()))
        {
            Object params = joinPoint.getArgs()[0];
            if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
            {
                BaseEntity baseEntity = (BaseEntity) params;
                 baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");
//将完成好的sql语句放在实体类 params的 dataScope属性中 这个属性是一个Map
            }
        }

 (4)返回给最开始那个感觉到突兀的${params.dataScope}中去;

脾气好一点17
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring AOP轻松搞定功能与数据权限
qq_30895747的博客
03-29 85
首先,我们定义一个功能权限验证切面,用于拦截需要进行功能权限验证的方法,并在方法执行前进行权限校验。@Slf4j@Aspect@Component@Autowired// 获取当前用户信息// 获取方法上的功能权限注解// 校验功能权限if (!");// 执行目标方法// 获取当前用户信息// 省略实现细节// 获取方法上的RequiresFunctionPermissions注解// 省略实现细节在上述代码中,我们定义了一个切面,通过@Around注解拦截带有。
JEECG 数据权限自定义SQL表达式用法说明
04-04
JEECG 开发文档系列 ——JEECG 数据权限自定义SQL表达式用法说明
简单数据权限控制—AOP注解方式
Camellia919的博客
09-29 1078
某些数据需要只给某个角色的用户展示,所以使用AOP方式最方便了, 1、首先我们维护了这个角色的人员,简易的管理员表: 2、新建一个注解 @Target(ElementType.TYPE) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface CheckAdmin { } 3、某些方法不需要验证,建一个跳过检...
数据权限技术实现方案和应用效果
最新发布
12-25 1458
数据权限是一种重要的数据安全措施,它可以帮助组织机构保护敏感数据并确保不同用户只能访问他们被授权的数据。数据权限分数据行权限和数据列权限两种。 数据行权限是一种数据权限型,它控制用户能够访问和操作的数据行的级别。行级权限通常是指对特定数据行的访问和操作权限。例如,在一个销售订单管理系统中,销售人员可能只能查看或编辑自己的销售订单,而部门经理则可以查看或编辑整个部门的销售订单。这种权限控制确保了不同用户只能访问和操作他们被授权的数据行。
【全栈开发指南】数据权限使用配置
全栈程序猿的专栏
07-11 3208
数据权限配置有两种方式:通过系统配置界面,实时配置生效。通过代码注解配置。
数据权限就该这么实现(实践篇),yyds!
飘渺Jam的博客
08-04 2536
我的知识星球正式上线了(戳链接),期待你的加入,我们一起冲冲冲!大家好,在上一篇文章中我们详细介绍了在RBAC模型中如何集成数据权限,本篇文章我们将通过实际案例,从代码实战的角度来实现这样的一个数据权限。在开始阅读本文之前,建议先把上篇文章 读一遍,读一遍,读一遍!数据权限就该这么设计,yyds!数据权限模型上篇文章的数据模型是基于传统的RBAC模型来设计的,由于我们这里...
若依的${params.dataScope}
热门推荐
庄毕楠的博客
04-29 1万+
若依的 <-- 数据范围过滤 --> ${params.dataScope} ${params.dataScope}的意思就是入参参数.dataScope属性 这个地方的参数是一个实体,SysDept,这个实体继承了BaseEntity; BaseEntity有一个属性是params, Controller层,这时候没有值: 到Service层因为有了@DataScope(deptAlias = “d” )注解,所以给这个属性赋值了; 这个注解是若依自定义的 会根据其角色所拥有的
若依DataScopeAspect数据权限解析和ew.customSqlSegment源码解析
nalanxiaoxiao2011的博客
09-15 2896
若依 数据权限 角色 ew.customSqlSegment
AOP DataScopeAspect添加SQL 语句分析
WC5556666的博客
12-16 48
由于sqlString为空,所以不进行下面的函数,最终添加sql语句为空。
若依框架中@DateScope注解实现数据权限
m0_75015491的博客
07-12 946
最近工作中有这么一个需求:不同的商户登录后台只能查看自己机构的数据,通常是拼接sql语句但是在 若依框架有这样一个注解可以直接实现数据权限@DateScope(该注解是加在对应接口的impl的对应方法上)
Ruoyi | AOP DataScopeAspect分析
m0_70893854的博客
12-17 224
数据权限限制的总体逻辑:2.Service 上的注解@DataScope3.监测@DataScope 的切面DataScopeAspect [给继承BaseEntity 的子属性params 添加SQL ]4. Service6.xml Mapper [通过子属性params 使用SQL 语句过滤数据]
Spring Boot 通过AOP自定义注解实现权限控制的方法
08-25
主要介绍了Spring Boot 通过AOP自定义注解实现权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
自定义注解+AOP实现权限控制.zip
01-15
详情请查看博客:<a href='https://blog.csdn.net/byteArr/article/details/103984725'> springboot+自定义注解+AOP实现权限控制(一)和<a href='https://blog.csdn.net/byteArr/article/details/103992016'> ...
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo...
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring aop实现用户权限管理的示例
08-28
本篇文章主要介绍了spring aop实现用户权限管理的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis-plus数据权限实现
qq_43320893的博客
02-18 5618
通过Mybatis-Plus实现自定义数据权限的插件
使用mybatis plus自定义拦截器,实现数据权限
weixin_44835182的博客
11-26 675
为了增强程序的安全性,需要在用户访问数据库的时候进行权限判断后选择性进行判断是否需要增强sql,来达到限制低级别权限用户访问数据的目的.部门采用的是可以反向推出父id\祖id(删除末尾2位数字可以推出父id\删除末尾4位数字可以推出父id)\或更高级别结点,编号等于1的时候是最顶级结点.
若依的数据隔离${params.dataScope}
weixin_45438577的博客
02-26 1万+
1、在(系统管理-角色管理)设置需要数据权限的角色目前支持以下几种权限 全部数据权限 自定数据权限 部门数据权限 部门及以下数据权限 本人数据权限2、在需要数据权限控制方法上添加@DataScope注解,其中d和u用来表示表的别名 // 部门数据权限注解 @DataScope(deptAlias = “u”) // 部门及用户权限注解 @DataScope(deptAlias = “d”, userAlias = “u”) 3、在mybatis查询底部标签添加数据范围过滤 ${params.dataSc
AOP实现自定义权限注解
07-25
回答: AOP实现自定义权限注解可以通过使用Spring AOP来实现。首先,你需要定义一个自定义注解,用于标记需要进行权限控制的方法。然后,你可以使用AOP的方式,在方法执行前或执行后进行权限验证。具体实现可以参考以下步骤: 1. 定义自定义注解:你可以使用@PreventRepeat注解来标记需要进行权限控制的方法。 2. 创建切面:你需要创建一个切面,使用@Aspect注解标记,并在该中定义一个切点,用于匹配被@PreventRepeat注解标记的方法。 3. 实现权限验证逻辑:在切面中,你可以使用@Before或@After注解来定义权限验证的逻辑。在方法执行前或执行后,你可以进行相应的权限验证操作。 4. 配置AOP:最后,你需要在Spring配置文件中配置AOP,将切面和切点与目标对象关联起来。 通过以上步骤,你就可以实现自定义权限注解的AOP实现了。这样,在被@PreventRepeat注解标记的方法执行前或执行后,你可以进行相应的权限验证操作。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [java-使用spring AOP实现自定义注解](https://blog.csdn.net/weixin_43846708/article/details/129547120)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值