目录
1.仅本人权限分析
1.1设置为仅本人权限
1.1.1当前用户权限(本部门数据权限)
1.1.2 设置用户权限为仅本人数据权限
1.1.3 我们可以发现当前权限已经改变
1.2 后端代码分析
(1)在后端控制台我们可以看到如下的条件筛选,但是在SysUserMapper.xml中的select语句我们只能看到一个筛选条件,但是下面有一个很突兀的“${params.dataScope}”,说明这东西是“and (u.user_id=2)”
我们可以看到倒数第二行${params.dataScope}就是对数据范围进行过滤
其中,params指的是parameterType="SysUser"传来的参数 SysUse的一个属性,然后这个属性的dataScope属性。
既然params.dataScope通过占位符嵌入在这里,那么他肯定是一个sql语句。我们返回到sysUser实体类中,发现sysUser中并没有params 这个属性。
这里我们可以看到SysUser继承了BaseEntity,果然我们在BaseEntity这个类中发现了 params 这个属性
public class BaseEntity implements Serializable
{
private static final long serialVersionUID = 1L;
/** 搜索值 */
private String searchValue;
/** 创建者 */
private String createBy;
/** 创建时间 */
@JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
private Date createTime;
/** 更新者 */
private String updateBy;
/** 更新时间 */
@JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
private Date updateTime;
/** 备注 */
private String remark;
/** 请求参数 */
private Map<String, Object> params;
(2)我们在监测@DataScope 的切面类DataScopeAspect中
/**
* 仅本人数据权限
*/
public static final String DATA_SCOPE_SELF = "5";
else if (DATA_SCOPE_SELF.equals(dataScope))
{
if (StringUtils.isNotBlank(userAlias))
{
sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId()));
}
else
{
// 数据权限为仅本人且没有userAlias别名不查询任何数据
sqlString.append(StringUtils.format(" OR {}.dept_id = 0 ", deptAlias));
}
}
可以看到因为设置的仅本人权限,执行的是这段代码,等效于or u.user_id =2;
(3)再通过以下代码将
OR u.user_id = 2 转为 AND (u.user_id = 2)
if (StringUtils.isNotBlank(sqlString.toString()))
{
Object params = joinPoint.getArgs()[0];
if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
{
BaseEntity baseEntity = (BaseEntity) params;
baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");
//将完成好的sql语句放在实体类 params的 dataScope属性中 这个属性是一个Map
}
}
(4)返回给最开始那个感觉到突兀的${params.dataScope}中去;
2.全部权限分析
2.1设置为全部数据权限
2.1.1设置用户权限为全部数据权限
2.1.2 我们可以发现当前权限已经改变
2.2 后端代码分析
(1)在后端控制台查看,因为是全部权限,所以不会额外添加筛选条件
(2)DataScopeAspect中并未对sql语句做拼接处理
if (DATA_SCOPE_ALL.equals(dataScope))
{
sqlString = new StringBuilder();
break;
}
(3)所以${params.dataScope}中并没有内容。
3.自定义权限
3.1设置为自定义数据权限
3.1.1设置用户权限为自定义数据权限
3.1.2 我们可以发现当前权限已经改变
3.2后端代码分析
(1)查看控制台
(2)在DataScopeAspect中,执行以下代码
else if (DATA_SCOPE_CUSTOM.equals(dataScope))
{
sqlString.append(StringUtils.format(
" OR {}.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id = {} ) ", deptAlias,
role.getRoleId()));
}
(3) 执行以下代码
if (StringUtils.isNotBlank(sqlString.toString()))
{
Object params = joinPoint.getArgs()[0];
if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
{
BaseEntity baseEntity = (BaseEntity) params;
baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");
//将完成好的sql语句放在实体类 params的 dataScope属性中 这个属性是一个Map
}
}
(4)返回给最开始那个感觉到突兀的${params.dataScope}中去;