前言
在实际项目开发中,我们经常会用到俩种权限,一种是功能权限,一种是数据权限。功能权限主要是用来限制用户的操作,而数据权限是限制用户能查看到哪些数据。功能权限我们可以使用流行的框架shiro或者spring-security实现,本节内容不做介绍。关于数据权限,我们可以根据项目的需求逐个在查询条件处添加,这也是最容易想到的方案。
本节内容我们提供一种更加灵活和低耦合的方式实现数据权限过滤。核心思想就是通过底层的拦截器,将数据权限的过滤条件在底层查询操作开始之前添加,这样就可以根据实际需求完成数据的过滤。这里主要用到的技术是mybatisplus的数据权限插件,用于底层数据执行操作的修改;使用aop切面处理需要添加数据权限的接口。
正文
- 引入mybatis-plus启动器的pom依赖,建议使用3.5.4以上版本,低版本存在sql解析问题
- mybatis-plus启动器pom依赖
<dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>3.5.4</version> </dependency>- 低版本启动器要排除jsqlparser,引入高版本的jsqlparser依赖,本文使用的是4.6版本
- 定义一个数据权限类型的常量类,用于标识不同数据权限,如用户、部门等
public class DataPermTypeConstant {
/**
* 用户数据权限
*/
public final static String DATA_TYPE_USER = "1";
}- 定义一个数据权限注解,用于标识需要使用数据权限的类或者方法
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataPerm {
/**
* 数据权限类型:1-用户 2-部门
*
* @return
*/
String[] type() default {};
}- 创建一个aop切面,根据标记的注解@DataPerm注解,生成数据权限过滤的sql
- 业务实现代码
@Component @Aspect public class CustomDataPermAspect { public final static ThreadLocal<List<String>> threadLocal = new ThreadLocal<>(); @Pointcut("@annotation(com.yundi.annotation.DataPerm)") public void dataPermPointCut() { } @Before(value = "dataPermPointCut()") public void dataPermBefore(JoinPoint joinPoint) { MethodSignature methodSignature = (MethodSignature) joinPoint.getSignature(); Method method = methodSignature.getMethod(); DataPerm dataPerm = method.getAnnotation(DataPerm.class); if (dataPerm != null) { List<String> dataPerms = Arrays.asList(dataPerm.type()); List<String> sqlList = new ArrayList<>(); //1.用户数据权限处理 if (dataPerms.contains(DataPermTypeConstant.DATA_TYPE_USER)) { //拼接数据权限接口 String sql = "create_user = '" + this.getUserId() + "'"; sqlList.add(sql); } //将数据权限的sql放到本地线程中 threadLocal.set(sqlList); } } private String getUserId(){ //todo 此处实现获取当前用户的业务逻辑 return "admin"; } }- 使用aop的@Before前置通知拦截使用了@DataPerm注解的方法,获取该方法需要使用的数据权限类型
- 根据不同的数据权限类型,拼接不同的数据权限sql
- 将拼接完成的sql放入本地线程
- 创建一个自定义的mybatisplus权限处理器CustomDataPermissionHandler
- 实现代码
@Slf4j public class CustomDataPermissionHandler implements DataPermissionHandler { @Override public Expression getSqlSegment(Expression where, String mappedStatementId) { try { List<String> sqlList = CustomDataPermAspect.threadLocal.get(); CustomDataPermAspect.threadLocal.remove(); if (sqlList != null) { for (String sql : sqlList) { Expression sqlSegmentExpression = CCJSqlParserUtil.parseCondExpression(sql); where = new AndExpression(where, sqlSegmentExpression); } } return where; } catch (JSQLParserException e) { log.info("sql解析异常:{}", e); throw new BusinessException(ErrorCode.code, "数据权限异常!"); } } }- 通过实现DataPermissionHandler中的getSqlSegment方法,获取将要执行的sql,在Expression where参数中
- 从线程变量中获取权限查询sql,如果存在,将获取到的数据权限拼接到要执行的sql中并返回
- 将CustomDataPermissionHandler处理器注册到mybatisplus配置类中
- 实现代码
@MapperScan("com.yundi.*.mapper") @Configuration public class MybatisPlusConfig { /** * 新的分页插件,一缓和二缓遵循mybatis的规则,需要设置 MybatisConfiguration#useDeprecatedExecutor = false 避免缓存出现问题(该属性会在旧插件移除后一同移除) */ @Bean public MybatisPlusInterceptor mybatisPlusInterceptor() { MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor(); interceptor.addInnerInterceptor(new DataPermissionInterceptor(new CustomDataPermissionHandler())); interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL)); return interceptor; } }- 这里需要注意的是,该处理器的拦截器要放到分页处理器的前面处理,否则会导致分页组件的拦截器先执行,导致数据权限还没有处理完成,最终导致分页数据错误
- 在任意的方法中添加@DataPerm注解,使当前方法的查询操作数据权限生效
- 通过测试接口请求,查询sql查询日志,看数据权限功能是否已经生效
结语
关于使用mybatisplus和aop切面实现数据权限隔离的案例实战到这里就结束了,我们下期见。。。。。。
