Mybatis-plus数据权限DataPermissionInterceptor实现
更新时间:2022年07月08日 16:18:43 作者:阿狸尬多
本文主要介绍了Mybatis-plus数据权限DataPermissionInterceptor实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
前言
数据权限因分页问题,不可能通过代码对数据进行过滤处理,只能在数据库语句进行处理,而如果每个查询都进行特殊处理的话,是个巨大的工作量,在网上找到了mybatis的一种解决方案。
一、源码分析
- 继承抽象类JsqlParserSupport并重写processSelect方法。JSqlParser是一个SQL语句解析器,它将SQL转换为Java类的可遍历层次结构。plus中也引入了JSqlParser包,processSelect可以对Select语句进行处理。
- 实现InnerInterceptor接口并重写beforeQuery方法。InnerInterceptor是plus的插件接口,beforeQuery可以对查询语句执行前进行处理。
- DataPermissionHandler作为数据权限处理器,是一个接口,提供getSqlSegment方法添加数据权限 SQL 片段。
- 由上可知,我们只需要实现DataPermissionHandler接口,并按照业务规则处理SQL,就可以实现数据权限的功能。
- DataPermissionInterceptor为mybatis-plus 3.4.2版本以上才有的功能。
package com.baomidou.mybatisplus.extension.plugins.inner;
import com.baomidou.mybatisplus.core.plugins.InterceptorIgnoreHelper;
import com.baomidou.mybatisplus.core.toolkit.PluginUtils;
import com.baomidou.mybatisplus.extension.parser.JsqlParserSupport;
import com.baomidou.mybatisplus.extension.plugins.handler.DataPermissionHandler;
import lombok.*;
import net.sf.jsqlparser.expression.Expression;
import net.sf.jsqlparser.statement.select.PlainSelect;
import net.sf.jsqlparser.statement.select.Select;
import net.sf.jsqlparser.statement.select.SelectBody;
import net.sf.jsqlparser.statement.select.SetOperationList;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;
import java.sql.SQLException;
import java.util.List;
/**
* 数据权限处理器
*
* @author hubin
* @since 3.4.1 +
*/
@Data
@NoArgsConstructor
@AllArgsConstructor
@ToString(callSuper = true)
@EqualsAndHashCode(callSuper = true)
@SuppressWarnings({"rawtypes"})
public class DataPermissionInterceptor extends JsqlParserSupport implements InnerInterceptor {
private DataPermissionHandler dataPermissionHandler;
@Override
public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
if (InterceptorIgnoreHelper.willIgnoreDataPermission(ms.getId())) return;
PluginUtils.MPBoundSql mpBs = PluginUtils.mpBoundSql(boundSql);
mpBs.sql(parserSingle(mpBs.sql(), ms.getId()));
}
@Override
protected void processSelect(Select select, int index, String sql, Object obj) {
SelectBody selectBody = select.getSelectBody();
if (selectBody instanceof PlainSelect) {
this.setWhere((PlainSelect) selectBody, (String) obj);
} else if (selectBody instanceof SetOperationList) {
SetOperationList setOperationList = (SetOperationList) selectBody;
List<SelectBody> selectBodyList = setOperationList.getSelects();
selectBodyList.forEach(s -> this.setWhere((PlainSelect) s, (String) obj));
}
}
/**
* 设置 where 条件
*
* @param plainSelect 查询对象
* @param whereSegment 查询条件片段
*/
protected void setWhere(PlainSelect plainSelect, String whereSegment) {
Expression sqlSegment = dataPermissionHandler.getSqlSegment(plainSelect.getWhere(), whereSegment);
if (null != sqlSegment) {
plainSelect.setWhere(sqlSegment);
}
}
}
二、使用案例
mybatis-plus在gitee的仓库中,有人询问了如何使用DataPermissionInterceptor,下面有人给出了例子,一共分为两步,一是实现dataPermissionHandler接口,二是将实现添加到mybstis-plus的处理器中。他的例子中是根据不同权限类型拼接sql。
通用的方案是在所有的表中增加权限相关的字段,如部门、门店、租户等。实现dataPermissionHandler接口时较方便,可直接添加这几个字段的条件,无需查询数据库。
/**
* 自定义数据权限
*
* @Author PXL
* @Version 1.0
* @Date 2021-02-07 16:52
*/
public class DataPermissionHandlerImpl implements DataPermissionHandler {
@Override
public Expression getSqlSegment(Expression where, String mappedStatementId) {
try {
Class<?> clazz = Class.forName(mappedStatementId.substring(0, mappedStatementId.lastIndexOf(".")));
String methodName = mappedStatementId.substring(mappedStatementId.lastIndexOf(".") + 1);
Method[] methods = clazz.getDeclaredMethods();
for (Method method : methods) {
DataPermission annotation = method.getAnnotation(DataPermission.class);
if (ObjectUtils.isNotEmpty(annotation) && (method.getName().equals(methodName) || (method.getName() + "_COUNT").equals(methodName))) {
// 获取当前的用户
LoginUser loginUser = SpringUtils.getBean(TokenService.class).getLoginUser(ServletUtils.getRequest());
if (ObjectUtils.isNotEmpty(loginUser) && ObjectUtils.isNotEmpty(loginUser.getUser()) && !loginUser.getUser().isAdmin()) {
return dataScopeFilter(loginUser.getUser(), annotation.value(), where);
}
}
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
return where;
}
/**
* 构建过滤条件
*
* @param user 当前登录用户
* @param where 当前查询条件
* @return 构建后查询条件
*/
public static Expression dataScopeFilter(SysUser user, String tableAlias, Expression where) {
Expression expression = null;
for (SysRole role : user.getRoles()) {
String dataScope = role.getDataScope();
if (DataScopeAspect.DATA_SCOPE_ALL.equals(dataScope)) {
return where;
}
if (DataScopeAspect.DATA_SCOPE_CUSTOM.equals(dataScope)) {
InExpression inExpression = new InExpression();
inExpression.setLeftExpression(buildColumn(tableAlias, "dept_id"));
SubSelect subSelect = new SubSelect();
PlainSelect select = new PlainSelect();
select.setSelectItems(Collections.singletonList(new SelectExpressionItem(new Column("dept_id"))));
select.setFromItem(new Table("sys_role_dept"));
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(new Column("role_id"));
equalsTo.setRightExpression(new LongValue(role.getRoleId()));
select.setWhere(equalsTo);
subSelect.setSelectBody(select);
inExpression.setRightExpression(subSelect);
expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, inExpression) : inExpression;
}
if (DataScopeAspect.DATA_SCOPE_DEPT.equals(dataScope)) {
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(buildColumn(tableAlias, "dept_id"));
equalsTo.setRightExpression(new LongValue(user.getDeptId()));
expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, equalsTo) : equalsTo;
}
if (DataScopeAspect.DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope)) {
InExpression inExpression = new InExpression();
inExpression.setLeftExpression(buildColumn(tableAlias, "dept_id"));
SubSelect subSelect = new SubSelect();
PlainSelect select = new PlainSelect();
select.setSelectItems(Collections.singletonList(new SelectExpressionItem(new Column("dept_id"))));
select.setFromItem(new Table("sys_dept"));
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(new Column("dept_id"));
equalsTo.setRightExpression(new LongValue(user.getDeptId()));
Function function = new Function();
function.setName("find_in_set");
function.setParameters(new ExpressionList(new LongValue(user.getDeptId()) , new Column("ancestors")));
select.setWhere(new OrExpression(equalsTo, function));
subSelect.setSelectBody(select);
inExpression.setRightExpression(subSelect);
expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, inExpression) : inExpression;
}
if (DataScopeAspect.DATA_SCOPE_SELF.equals(dataScope)) {
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(buildColumn(tableAlias, "create_by"));
equalsTo.setRightExpression(new StringValue(user.getUserName()));
expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, equalsTo) : equalsTo;
}
}
return ObjectUtils.isNotEmpty(where) ? new AndExpression(where, new Parenthesis(expression)) : expression;
}
/**
* 构建Column
*
* @param tableAlias 表别名
* @param columnName 字段名称
* @return 带表别名字段
*/
public static Column buildColumn(String tableAlias, String columnName) {
if (StringUtils.isNotEmpty(tableAlias)) {
columnName = tableAlias + "." + columnName;
}
return new Column(columnName);
}
}
// 自定义数据权限 interceptor.addInnerInterceptor(new DataPermissionInterceptor(new DataPermissionHandlerImpl()));
尝试验证
DataPermissionHandler 接口
可以看到DataPermissionHandler 接口使用中,传递来的参数是什么。
| 参数 | 含义 |
|---|---|
| where | 为当前sql已有的where条件 |
| mappedStatementId | 为mapper中定义的方法的路径 |
@InterceptorIgnore注解
拦截忽略注解 @InterceptorIgnore
| 属性名 | 类型 | 默认值 | 描述 |
|---|---|---|---|
| tenantLine | String | “” | 行级租户 |
| dynamicTableName | String | “” | 动态表名 |
| blockAttack | String | “” | 攻击 SQL 阻断解析器,防止全表更新与删除 |
| illegalSql | String | “” | 垃圾SQL拦截 |
实践应用
在维修小程序中,我使用了此方案。如下是我的代码:
/**
* @ClassName MyDataPermissionHandler
* @Description 自定义数据权限处理
* @Author FangCheng
* @Date 2022/4/2 14:54
**/
@Component
public class MyDataPermissionHandler implements DataPermissionHandler {
@Autowired
@Lazy
private UserRepository userRepository;
@Override
public Expression getSqlSegment(Expression where, String mappedStatementId) {
try {
Class<?> clazz = Class.forName(mappedStatementId.substring(0, mappedStatementId.lastIndexOf(".")));
String methodName = mappedStatementId.substring(mappedStatementId.lastIndexOf(".") + 1);
Method[] methods = clazz.getDeclaredMethods();
for (Method method : methods) {
if (!methodName.equals(method.getName())) {
continue;
}
// 获取自定义注解,无此注解则不控制数据权限
CustomDataPermission annotation = method.getAnnotation(CustomDataPermission.class);
if (annotation == null) {
continue;
}
// 自定义的用户上下文,获取到用户的id
ContextUserDetails contextUserDetails = UserDetailsContextHolder.getContextUserDetails();
String userId = contextUserDetails.getId();
User user = userRepository.selectUserById(userId);
// 如果是特权用户,不控制数据权限
if (Constants.ADMIN_RULE == user.getAdminuser()) {
return where;
}
// 员工用户
if (UserTypeEnum.USER_TYPE_EMPLOYEE.getCode().equals(user.getUsertype())) {
// 员工用户的权限字段
String field = annotation.field().getValue();
// 单据类型
String billType = annotation.billType().getFuncno();
// 操作类型
OperationTypeEnum operationType = annotation.operation();
// 权限字段为空则为不控制数据权限
if (StringUtils.isNotEmpty(field)) {
List<DataPermission> dataPermissions = userRepository.selectUserFuncnoDataPermission(userId, billType);
if (dataPermissions.size() == 0) {
// 没数据权限,但有功能权限则取所有数据
return where;
}
// 构建in表达式
InExpression inExpression = new InExpression();
inExpression.setLeftExpression(new Column(field));
List<Expression> conditions = null;
switch(operationType) {
case SELECT:
conditions = dataPermissions.stream().map(res -> new StringValue(res.getStkid())).collect(Collectors.toList());
break;
case INSERT:
conditions = dataPermissions.stream().filter(DataPermission::isAddright).map(res -> new StringValue(res.getStkid())).collect(Collectors.toList());
break;
case UPDATE:
conditions = dataPermissions.stream().filter(DataPermission::isModright).map(res -> new StringValue(res.getStkid())).collect(Collectors.toList());
break;
case APPROVE:
conditions = dataPermissions.stream().filter(DataPermission::isCheckright).map(res -> new StringValue(res.getStkid())).collect(Collectors.toList());
break;
default:
break;
}
if (conditions == null) {
return where;
}
conditions.add(new StringValue(Constants.ALL_STORE));
ItemsList itemsList = new ExpressionList(conditions);
inExpression.setRightItemsList(itemsList);
if (where == null) {
return inExpression;
}
return new AndExpression(where, inExpression);
} else {
return where;
}
} else {
// 供应商用户的权限字段
String field = annotation.vendorfield().getValue();
if (StringUtils.isNotEmpty(field)) {
// 供应商如果控制权限,则只能看到自己的单据。直接使用EqualsTo
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(new Column(field));
equalsTo.setRightExpression(new StringValue(userId));
if (where == null) {
return equalsTo;
}
// 创建 AND 表达式 拼接Where 和 = 表达式
return new AndExpression(where, equalsTo);
} else {
return where;
}
}
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
return where;
}
}
/**
* @ClassName MybatisConfig
* @Description mybatis配置
* @Author FangCheng
* @Date 2022/4/2 15:32
**/
@Configuration
public class MybatisConfig {
@Autowired
private MyDataPermissionHandler myDataPermissionHandler;
@Bean
public MybatisPlusInterceptor mybatisPlusInterceptor() {
MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
// 添加数据权限插件
DataPermissionInterceptor dataPermissionInterceptor = new DataPermissionInterceptor();
// 添加自定义的数据权限处理器
dataPermissionInterceptor.setDataPermissionHandler(myDataPermissionHandler);
interceptor.addInnerInterceptor(dataPermissionInterceptor);
// 分页插件
//interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.SQL_SERVER));
return interceptor;
}
}
因为维修小程序相当于一个外挂程序,他的权限控制延用了七八年前程序的方案,设计的较为复杂,也有现成获取数据的存储过程供我们使用,此处做了一些特殊处理。增加了自定义注解、dataPermissionHandler接口实现类查询了数据库调用存储过程获取权限信息等。
自定义注解
/**
* @ClassName CustomDataPermission
* @Description 自定义数据权限注解
* @Author FangCheng
* @Date 2022/4/6 10:24
**/
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface CustomDataPermission {
PermissionFieldEnum field();
PermissionFieldEnum vendorfield();
BillTypeEnum billType();
OperationTypeEnum operation();
}
使用注解
/**
* @ClassName ApplyHMapper
* @Description 维修申请单主表
* @Author FangCheng
* @Date 2022/4/6 13:06
**/
@Mapper
public interface ApplyHMapper extends BaseMapper<ApplyHPo> {
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName selectApplyHs
*/
@CustomDataPermission(field = PermissionFieldEnum.FIELD_STKID,
vendorfield = PermissionFieldEnum.FIELD_EMPTY,
billType = BillTypeEnum.APPLY_BILL,
operation = OperationTypeEnum.SELECT)
Page<ApplyHPo> selectApplyHs(IPage<ApplyHPo> page, @Param(Constants.WRAPPER) QueryWrapper<ApplyHPo> queryWrapper);
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName selectApplyHsForVendor
*/
Page<ApplyHPo> selectApplyHsForVendor(IPage<ApplyHPo> page, @Param("vendorid") String vendorid, @Param(Constants.WRAPPER) QueryWrapper<ApplyHPo> queryWrapper);
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName selectApplyH
*/
@CustomDataPermission(field = PermissionFieldEnum.FIELD_STKID,
vendorfield = PermissionFieldEnum.FIELD_EMPTY,
billType = BillTypeEnum.APPLY_BILL,
operation = OperationTypeEnum.SELECT)
ApplyHPo selectApplyH(@Param("billNo") String billNo);
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName selectApplyH
*/
@InterceptorIgnore
ApplyHPo selectApplyHNoPermission(@Param("billNo") String billNo);
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName saveApplyH
*/
void saveApplyH(ApplyHPo applyHPo);
}
最终的效果
2022-04-24 09:14:52.878 DEBUG 29254 --- [nio-8086-exec-2] c.y.w.i.p.m.ApplyHMapper.selectApplyHs : ==> select * from t_mt_apply_h WHERE stkid IN ('0025', 'all')
总结
以上就是今天要讲的内容,本文仅仅简单介绍了Mybatis-plus数据权限接口DataPermissionInterceptor的一种实现方式,没有过多的深入研究。
部分内容参考:
Mybatis-Plus入门系列(3)- MybatisPlus之数据权限插件DataPermissionInterceptor
@InterceptorIgnore
到此这篇关于Mybatis-plus数据权限DataPermissionInterceptor实现的文章就介绍到这了,更多相关Mybatis-plus DataPermissionInterceptor内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
@Transactional注解是Spring提供的一种声明式事务管理方式,这篇文章主要为大家详细介绍了@Transactional注解的原理分析及使用,需要的可以参考一下2023-05-05
这篇文章主要介绍了Java多线程实现之Executor详解,Executor 给他一个 Runnable,他就能自动很安全的帮你把这个线程执行完毕2023-08-08
Executor 通过创建线程池的方式来管理线程,需要的朋友可以参考下
这篇文章主要介绍了Springboot 如何关闭自动配置的操作,具有很好的开车价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-09-09
Java的双亲委派模型是一种类加载机制,它用于保证Java类的安全性和稳定性,在这个模型中,当一个类需要被加载时,Java虚拟机会先检查自己是否已经加载了该类,本文就给大家讲解一下Java类加载机制中的双亲委派模型,需要的朋友可以参考下2023-09-09
BeanFactory和FactoryBean的区别示例详解
这篇文章主要为大家介绍了BeanFactory和FactoryBean的区别示例详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-10-10
基于springboot实现整合shiro实现登录认证以及授权过程解析
这篇文章主要介绍了基于springboot实现整合shiro实现登录认证以及授权过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-12-12
SpringBoot2.0 整合 Dubbo框架实现RPC服务远程调用方法
这篇文章主要介绍了SpringBoot2.0 整合 Dubbo框架 实现RPC服务远程调用 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2019-07-07
浅析springboot通过面向接口编程对控制反转IOC的理解
这篇文章主要介绍了springboot通过面向接口编程对控制反转IOC的理解,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧2020-08-08
这篇文章主要介绍了浅谈Spring中@Import注解的作用和使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-05-05
这篇文章主要介绍了java HashMap扩容详解及实例代码的相关资料,需要的朋友可以参考下2017-02-02
最新评论