(二十七)ATP应用测试平台——基于mybatisplus和aop切面实现数据权限隔离的案例实战

置顶 已于 2023-11-10 10:34:53 修改
阅读量729 收藏 2
点赞数 1
分类专栏: ATP应用测试平台 # springboot 文章标签: spring boot
于 2023-11-10 10:28:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yprufeng/article/details/134295095
版权

前言

在实际项目开发中,我们经常会用到俩种权限,一种是功能权限,一种是数据权限。功能权限主要是用来限制用户的操作,而数据权限是限制用户能查看到哪些数据。功能权限我们可以使用流行的框架shiro或者spring-security实现,本节内容不做介绍。关于数据权限,我们可以根据项目的需求逐个在查询条件处添加,这也是最容易想到的方案。

本节内容我们提供一种更加灵活和低耦合的方式实现数据权限过滤。核心思想就是通过底层的拦截器,将数据权限的过滤条件在底层查询操作开始之前添加,这样就可以根据实际需求完成数据的过滤。这里主要用到的技术是mybatisplus的数据权限插件,用于底层数据执行操作的修改;使用aop切面处理需要添加数据权限的接口。

正文

  • 引入mybatis-plus启动器的pom依赖,建议使用3.5.4以上版本,低版本存在sql解析问题

- mybatis-plus启动器pom依赖

<dependency>
	<groupId>com.baomidou</groupId>
	<artifactId>mybatis-plus-boot-starter</artifactId>
	<version>3.5.4</version>
</dependency>

 - 低版本启动器要排除jsqlparser,引入高版本的jsqlparser依赖,本文使用的是4.6版本

  • 定义一个数据权限类型的常量类,用于标识不同数据权限,如用户、部门等
public class DataPermTypeConstant {
    /**
     * 用户数据权限
     */
    public final static String DATA_TYPE_USER = "1";
}
  • 定义一个数据权限注解,用于标识需要使用数据权限的类或者方法
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataPerm {
    /**
     * 数据权限类型:1-用户 2-部门
     *
     * @return
     */
    String[] type() default {};
}
  •  创建一个aop切面,根据标记的注解@DataPerm注解,生成数据权限过滤的sql

- 业务实现代码

@Component
@Aspect
public class CustomDataPermAspect {
    public final static ThreadLocal<List<String>> threadLocal = new ThreadLocal<>();

    @Pointcut("@annotation(com.yundi.annotation.DataPerm)")
    public void dataPermPointCut() {

    }

    @Before(value = "dataPermPointCut()")
    public void dataPermBefore(JoinPoint joinPoint) {
        MethodSignature methodSignature = (MethodSignature) joinPoint.getSignature();
        Method method = methodSignature.getMethod();
        DataPerm dataPerm = method.getAnnotation(DataPerm.class);
        if (dataPerm != null) {
            List<String> dataPerms = Arrays.asList(dataPerm.type());
            List<String> sqlList = new ArrayList<>();
            //1.用户数据权限处理
            if (dataPerms.contains(DataPermTypeConstant.DATA_TYPE_USER)) {
				//拼接数据权限接口
                String sql = "create_user = '" + this.getUserId() + "'";
                sqlList.add(sql);
            }
			//将数据权限的sql放到本地线程中
            threadLocal.set(sqlList);
        }
    }
   
    private String getUserId(){
		//todo  此处实现获取当前用户的业务逻辑
		return "admin";
	}


}

- 使用aop的@Before前置通知拦截使用了@DataPerm注解的方法,获取该方法需要使用的数据权限类型

- 根据不同的数据权限类型,拼接不同的数据权限sql

- 将拼接完成的sql放入本地线程

  • 创建一个自定义的mybatisplus权限处理器CustomDataPermissionHandler

- 实现代码

@Slf4j
public class CustomDataPermissionHandler implements DataPermissionHandler {

    @Override
    public Expression getSqlSegment(Expression where, String mappedStatementId) {
        try {
            List<String> sqlList = CustomDataPermAspect.threadLocal.get();
            CustomDataPermAspect.threadLocal.remove();
            if (sqlList != null) {
                for (String sql : sqlList) {
                    Expression sqlSegmentExpression = CCJSqlParserUtil.parseCondExpression(sql);
                    where = new AndExpression(where, sqlSegmentExpression);
                }
            }
            return where;
        } catch (JSQLParserException e) {
            log.info("sql解析异常:{}", e);
            throw new BusinessException(ErrorCode.code, "数据权限异常!");
        }
    }


}

- 通过实现DataPermissionHandler中的getSqlSegment方法,获取将要执行的sql,在Expression where参数中

- 从线程变量中获取权限查询sql,如果存在,将获取到的数据权限拼接到要执行的sql中并返回

  •  将CustomDataPermissionHandler处理器注册到mybatisplus配置类中

- 实现代码

@MapperScan("com.yundi.*.mapper")
@Configuration
public class MybatisPlusConfig {

    /**
     * 新的分页插件,一缓和二缓遵循mybatis的规则,需要设置 MybatisConfiguration#useDeprecatedExecutor = false 避免缓存出现问题(该属性会在旧插件移除后一同移除)
     */
    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor() {
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        interceptor.addInnerInterceptor(new DataPermissionInterceptor(new CustomDataPermissionHandler()));
        interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));
        return interceptor;
    }
}

- 这里需要注意的是,该处理器的拦截器要放到分页处理器的前面处理,否则会导致分页组件的拦截器先执行,导致数据权限还没有处理完成,最终导致分页数据错误

  • 在任意的方法中添加@DataPerm注解,使当前方法的查询操作数据权限生效

  •  通过测试接口请求,查询sql查询日志,看数据权限功能是否已经生效

结语

关于使用mybatisplus和aop切面实现数据权限隔离的案例实战到这里就结束了,我们下期见。。。。。。

厉害哥哥吖
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于Mybatis-Plus的数据权限框架
chenahong0201的博客
12-13 2300
近期开发使用的框架基本上都是springboot + Mybatis-plus 方便,快速。而且差不多都是单表查询,很少使用关联表。经常会遇到需要做数据权限过滤的查询,每次都要写SQL,然后使用in的方式。非常麻烦。所以研究了一下Mybatis-plus的进阶使用。可以通过自定义SQL解析器,自定义SQL内容。使用该方式 + 切面 的方式,实现自动添加数据权限的过滤方式。注:我自己的工程的权限框架为shiro,可以通过修改,配置适配自己框架如果有额外的自定义SQL,则可以添加。/**
基于Spring框架应用权限控制系统的研究和实现
02-04
Acegi是基于SpringIOC和AOP机制实现的一个安全框架。本文探讨了Acegi安全框架中各部件之间的交互,并通过扩展Acegi数据库设计来实现基于Spring框架的应用的安全控制方法。 关键词Spring;Acegi;认证;授权1引言 ...
Proxy实现AOP切面编程案例
08-24
主要介绍了Proxy实现AOP切面编程案例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
MyBatis-Plus演绎:数据权限控制,优雅至极!
chen520的博客
10-09 1728
项目使用mybaits-plus,所以在mybaits-plus的基础上增加数据权限的过滤mybaits-plus自带数据权限支持,但由于系统数据权限相对复杂,通过查看文档发现好像并不适用,且原项目版本低,所以最终还是通过自己的方式实现
MyBatis-Plus数据权限插件使用
最新发布
Charge8的博客
05-22 1875
MyBatis-Plus数据权限插件使用
Mybatis-Plus入门系列(3)- MybatisPlus数据权限插件DataPermissionInterceptor
热门推荐
记录知识、锤炼自我
03-15 2万+
前言 权限管理 一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。 分类 DataPermissionInterceptor ...
SpringBoot+MyBatisPlus+AOP实现数据源切换
小学生波波
11-02 1510
SpringBoot+MyBatisPlus+AOP实现数据源切换
Mybatis实现数据权限控制
DGBhandsome的博客
02-06 946
利用Mybatis中提供的方法,可以实现SQL的提前拦截然后重新进行sql拼装的方式来让查询sql做到数据隔离的效果。总结:思路永远都是引路者,不是实现者,具体实现还是要根据自己的实际业务做。嗯~在码农的路上保持分享!
【springboot】【MybatisPlus】配置+自动代码生成+分页查询
lorogy的博客
02-05 2355
一、MyBatis配置(mybatis-plus-boot-starter) 依赖pox.xml <!-- 数据库 --> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.11</
SpringAOP切面实例讲解及应用场景(通俗易懂)
12-21
AOP切面的实践 下面是一个在spring mvc中关于切面如何使用的例子,可以指直观的理解切面到底有什么作用 1、引用 AspectJ jar 包依赖 pom.xml 文件添加依赖 org.aspectj aspectjrt 1.9.2 2、创建两个新的包 ...
最简单的基于注解进行面向切面AOP开发案例
10-14
本项目是提供给java新手...本项目演示了java的 AOP 面向切面 的开发。 本项目演示了 前置切面,环绕切面, 后置异常切面 的开发。 本项目的技术栈是 Maven+Spring 如果您是技术高手,请不要购买,这个资源不适合您。
Spring mvc mybatis plus 实现AOP 切面日志系统
12-19
Spring mvc mybatis plus 实现AOP 切面日志系统,带有数据库。可以自行拓展
可复用的用户权限菜单模块,运用的技术是springboot+mybatis-plus
02-28
该zip中含有jar可复用模块,以及demo案例数据结构sql脚本。觉得能用的上就下,用不上咋们就不下。我是需要一点积分所以整的这个。运用的技术是springboot,mybatis-plus,mysql,下载解压导入idea便可,还需要sql脚本导入数据库等修改一下配置。
Java实现AOP面向切面编程的实例教程共4页.pdf.z
10-30
在Java中,AOP通常通过Spring框架来实现,Spring提供了强大的AOP支持,允许开发者定义“切面”,这些切面可以封装横切关注点,如日志、事务管理、性能监控等。现在,我们将深入探讨Java中AOP实现及其应用场景。 ...
MyBatisPlus数据权限插件分析
一千个读者就有一千个哈姆雷特
03-20 598
自定义数据权限拦截器 processSelect 处理查询 继承 JsqlParserSupport processUpdate 处理更新 继承 JsqlParserSupport processDelete 处理删除 继承 JsqlParserSupport beforeQuery 前置处理查询 实现 InnerInterceptor beforePrepare 前置处理删除和更新 实现 InnerInterceptor 流程分析 beforeQuery
mybatisplus数据权限插件学习初探 & 动态表名更换插件 &防止全表更新与删除插件 & 乐观锁插件
pscool的博客
06-03 1292
对于系统中的不同用户,对于同一接口,由于用户各自的权限大小,可能看到的数据不一样。就比如:有一张用户表,每个用户只能属于某一个部门,每个用户都有自己的用户类型(用户类型有老板、部门经理、普通职工),每个员工的订单记录在订单表中,订单属于创建这个订单的用户,订单也属于这个用户的部门。对于老板来说,能看到所有的订单对于部门经理来说,能够看到自己部门(可能还有子部门,这里暂不考虑)的订单对于普通职工来说,只能看到自己的订单。
基于mybatis-plus interceptor的数据权限以及自定义injector整合baseMapper
fasujbhf的博客
03-27 484
自定义dataScope/*** 限制范围的字段名称 (除个人外)/*** 限制范围为个人时的字段名称/*** 当前用户ID/*** 具体的数据范围/*** 限制范围为插入时的类型} @Getter @AllArgsConstructor @ApiModel(value = "DataScopeType" , description = "数据权限类型-枚举") public enum DataScopeType implements BaseEnum {/**
Spring 整合 Mybatis - 一(基础)
weixin_40017062的博客
04-13 942
1、mybatis配置文件配置类的别名。 2、spring配置文件配置数据库连接信息、sqlSessionFactory 对象、映射xml文件路径、映射类对象路径。
数据权限 基于mybatis plus插件
xl十一的博客
04-26 2085
数据权限 基于mybatis plus插件 方案 关键:表create_by字段,需要做数据权限的某张表,根据当前登录用户的数据权限(例如ALL、ME、CUR_DEPT、CUR_DEPT_WITH_SUB_DEPT、CUSTOM)获取部门——>用户id,然后查询某张表时附加条件and create_by in [userIds] 说明 1、mp 拦截器中注入mapper,需要使用@Lazy懒加载,否则出现循环引用 sql create table ds_dept ( id bigint(20
Spring AOP——基于注解的AOP实现
05-18
Spring AOP是Spring框架中的一个重要模块,它提供了面向切面编程(AOP)的支持。AOP是一种编程思想,它可以在不改变原有代码的情况下,通过在程序运行时动态地将代码“织入”到现有代码中,从而实现对原有代码的增强。 Spring AOP提供了基于注解的AOP实现,使得开发者可以通过注解的方式来定义切面、切点和通知等相关内容,从而简化了AOP的使用。 下面是一个基于注解的AOP实现的例子: 1. 定义切面类 ```java @Aspect @Component public class LogAspect { @Pointcut("@annotation(Log)") public void logPointcut() {} @Before("logPointcut()") public void beforeLog(JoinPoint joinPoint) { // 前置通知 System.out.println("执行方法:" + joinPoint.getSignature().getName()); } @AfterReturning("logPointcut()") public void afterLog(JoinPoint joinPoint) { // 后置通知 System.out.println("方法执行完成:" + joinPoint.getSignature().getName()); } @AfterThrowing(pointcut = "logPointcut()", throwing = "ex") public void afterThrowingLog(JoinPoint joinPoint, Exception ex) { // 异常通知 System.out.println("方法执行异常:" + joinPoint.getSignature().getName() + ",异常信息:" + ex.getMessage()); } } ``` 2. 定义业务逻辑类 ```java @Service public class UserService { @Log public void addUser(User user) { // 添加用户 System.out.println("添加用户:" + user.getName()); } @Log public void deleteUser(String userId) { // 删除用户 System.out.println("删除用户:" + userId); throw new RuntimeException("删除用户异常"); } } ``` 3. 在配置文件中开启AOP ```xml <aop:aspectj-autoproxy/> <context:component-scan base-package="com.example"/> ``` 在这个例子中,我们定义了一个切面类LogAspect,其中通过@Aspect注解定义了一个切面,通过@Pointcut注解定义了一个切点,通过@Before、@AfterReturning和@AfterThrowing注解分别定义了前置通知、后置通知和异常通知。 在业务逻辑类中,我们通过@Log注解标注了需要增强的方法。 最后,在配置文件中,我们通过<aop:aspectj-autoproxy/>开启了AOP功能,并通过<context:component-scan>扫描了指定包下的所有组件。 这样,当我们调用UserService中的方法时,就会触发LogAspect中定义的通知,从而实现对原有代码的增强。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

厉害哥哥吖

您的支持是我创作下去的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值