<em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011
2021-06-01 09:32:01
Mybatis-plus資料許可權DataPermissionInterceptor實現
2022-07-08 18:04:41
前言
資料許可權因分頁問題,不可能通過程式碼對資料進行過濾處理,只能在資料庫語句進行處理,而如果每個查詢都進行特殊處理的話,是個巨大的工作量,在網上找到了mybatis的一種解決方案。
一、原始碼分析
- 繼承抽象類JsqlParserSupport並重寫processSelect方法。JSqlParser是一個SQL語句解析器,它將SQL轉換為Java類的可遍歷層次結構。plus中也引入了JSqlParser包,processSelect可以對Select語句進行處理。
- 實現InnerInterceptor介面並重寫beforeQuery方法。InnerInterceptor是plus的外掛介面,beforeQuery可以對查詢語句執行前進行處理。
- DataPermissionHandler作為資料許可權處理器,是一個介面,提供getSqlSegment方法新增資料許可權 SQL 片段。
- 由上可知,我們只需要實現DataPermissionHandler介面,並按照業務規則處理SQL,就可以實現資料許可權的功能。
- DataPermissionInterceptor為mybatis-plus 3.4.2版本以上才有的功能。
package com.baomidou.mybatisplus.extension.plugins.inner;
import com.baomidou.mybatisplus.core.plugins.InterceptorIgnoreHelper;
import com.baomidou.mybatisplus.core.toolkit.PluginUtils;
import com.baomidou.mybatisplus.extension.parser.JsqlParserSupport;
import com.baomidou.mybatisplus.extension.plugins.handler.DataPermissionHandler;
import lombok.*;
import net.sf.jsqlparser.expression.Expression;
import net.sf.jsqlparser.statement.select.PlainSelect;
import net.sf.jsqlparser.statement.select.Select;
import net.sf.jsqlparser.statement.select.SelectBody;
import net.sf.jsqlparser.statement.select.SetOperationList;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;
import java.sql.SQLException;
import java.util.List;
/**
* 資料許可權處理器
*
* @author hubin
* @since 3.4.1 +
*/
@Data
@NoArgsConstructor
@AllArgsConstructor
@ToString(callSuper = true)
@EqualsAndHashCode(callSuper = true)
@SuppressWarnings({"rawtypes"})
public class DataPermissionInterceptor extends JsqlParserSupport implements InnerInterceptor {
private DataPermissionHandler dataPermissionHandler;
@Override
public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
if (InterceptorIgnoreHelper.willIgnoreDataPermission(ms.getId())) return;
PluginUtils.MPBoundSql mpBs = PluginUtils.mpBoundSql(boundSql);
mpBs.sql(parserSingle(mpBs.sql(), ms.getId()));
}
@Override
protected void processSelect(Select select, int index, String sql, Object obj) {
SelectBody selectBody = select.getSelectBody();
if (selectBody instanceof PlainSelect) {
this.setWhere((PlainSelect) selectBody, (String) obj);
} else if (selectBody instanceof SetOperationList) {
SetOperationList setOperationList = (SetOperationList) selectBody;
List<SelectBody> selectBodyList = setOperationList.getSelects();
selectBodyList.forEach(s -> this.setWhere((PlainSelect) s, (String) obj));
}
}
/**
* 設定 where 條件
*
* @param plainSelect 查詢物件
* @param whereSegment 查詢條件片段
*/
protected void setWhere(PlainSelect plainSelect, String whereSegment) {
Expression sqlSegment = dataPermissionHandler.getSqlSegment(plainSelect.getWhere(), whereSegment);
if (null != sqlSegment) {
plainSelect.setWhere(sqlSegment);
}
}
}
二、使用案例
mybatis-plus在gitee的倉庫中,有人詢問了如何使用DataPermissionInterceptor,下面有人給出了例子,一共分為兩步,一是實現dataPermissionHandler介面,二是將實現新增到mybstis-plus的處理器中。他的例子中是根據不同許可權型別拼接sql。
通用的方案是在所有的表中增加許可權相關的欄位,如部門、門店、租戶等。實現dataPermissionHandler介面時較方便,可直接新增這幾個欄位的條件,無需查詢資料庫。
/**
* 自定義資料許可權
*
* @Author PXL
* @Version 1.0
* @Date 2021-02-07 16:52
*/
public class DataPermissionHandlerImpl implements DataPermissionHandler {
@Override
public Expression getSqlSegment(Expression where, String mappedStatementId) {
try {
Class<?> clazz = Class.forName(mappedStatementId.substring(0, mappedStatementId.lastIndexOf(".")));
String methodName = mappedStatementId.substring(mappedStatementId.lastIndexOf(".") + 1);
Method[] methods = clazz.getDeclaredMethods();
for (Method method : methods) {
DataPermission annotation = method.getAnnotation(DataPermission.class);
if (ObjectUtils.isNotEmpty(annotation) && (method.getName().equals(methodName) || (method.getName() + "_COUNT").equals(methodName))) {
// 獲取當前的使用者
LoginUser loginUser = SpringUtils.getBean(TokenService.class).getLoginUser(ServletUtils.getRequest());
if (ObjectUtils.isNotEmpty(loginUser) && ObjectUtils.isNotEmpty(loginUser.getUser()) && !loginUser.getUser().isAdmin()) {
return dataScopeFilter(loginUser.getUser(), annotation.value(), where);
}
}
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
return where;
}
/**
* 構建過濾條件
*
* @param user 當前登入使用者
* @param where 當前查詢條件
* @return 構建後查詢條件
*/
public static Expression dataScopeFilter(SysUser user, String tableAlias, Expression where) {
Expression expression = null;
for (SysRole role : user.getRoles()) {
String dataScope = role.getDataScope();
if (DataScopeAspect.DATA_SCOPE_ALL.equals(dataScope)) {
return where;
}
if (DataScopeAspect.DATA_SCOPE_CUSTOM.equals(dataScope)) {
InExpression inExpression = new InExpression();
inExpression.setLeftExpression(buildColumn(tableAlias, "dept_id"));
SubSelect subSelect = new SubSelect();
PlainSelect select = new PlainSelect();
select.setSelectItems(Collections.singletonList(new SelectExpressionItem(new Column("dept_id"))));
select.setFromItem(new Table("sys_role_dept"));
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(new Column("role_id"));
equalsTo.setRightExpression(new LongValue(role.getRoleId()));
select.setWhere(equalsTo);
subSelect.setSelectBody(select);
inExpression.setRightExpression(subSelect);
expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, inExpression) : inExpression;
}
if (DataScopeAspect.DATA_SCOPE_DEPT.equals(dataScope)) {
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(buildColumn(tableAlias, "dept_id"));
equalsTo.setRightExpression(new LongValue(user.getDeptId()));
expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, equalsTo) : equalsTo;
}
if (DataScopeAspect.DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope)) {
InExpression inExpression = new InExpression();
inExpression.setLeftExpression(buildColumn(tableAlias, "dept_id"));
SubSelect subSelect = new SubSelect();
PlainSelect select = new PlainSelect();
select.setSelectItems(Collections.singletonList(new SelectExpressionItem(new Column("dept_id"))));
select.setFromItem(new Table("sys_dept"));
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(new Column("dept_id"));
equalsTo.setRightExpression(new LongValue(user.getDeptId()));
Function function = new Function();
function.setName("find_in_set");
function.setParameters(new ExpressionList(new LongValue(user.getDeptId()) , new Column("ancestors")));
select.setWhere(new OrExpression(equalsTo, function));
subSelect.setSelectBody(select);
inExpression.setRightExpression(subSelect);
expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, inExpression) : inExpression;
}
if (DataScopeAspect.DATA_SCOPE_SELF.equals(dataScope)) {
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(buildColumn(tableAlias, "create_by"));
equalsTo.setRightExpression(new StringValue(user.getUserName()));
expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, equalsTo) : equalsTo;
}
}
return ObjectUtils.isNotEmpty(where) ? new AndExpression(where, new Parenthesis(expression)) : expression;
}
/**
* 構建Column
*
* @param tableAlias 表別名
* @param columnName 欄位名稱
* @return 帶表別名欄位
*/
public static Column buildColumn(String tableAlias, String columnName) {
if (StringUtils.isNotEmpty(tableAlias)) {
columnName = tableAlias + "." + columnName;
}
return new Column(columnName);
}
}
// 自定義資料許可權 interceptor.addInnerInterceptor(new DataPermissionInterceptor(new DataPermissionHandlerImpl()));
嘗試驗證
DataPermissionHandler 介面
可以看到DataPermissionHandler 介面使用中,傳遞來的引數是什麼。
| 引數 | 含義 |
|---|---|
| where | 為當前sql已有的where條件 |
| mappedStatementId | 為mapper中定義的方法的路徑 |
@InterceptorIgnore註解
攔截忽略註解 @InterceptorIgnore
| 屬性名 | 型別 | 預設值 | 描述 |
|---|---|---|---|
| tenantLine | String | “” | 行級租戶 |
| dynamicTableName | String | “” | 動態表名 |
| blockAttack | String | “” | 攻擊 SQL 阻斷解析器,防止全表更新與刪除 |
| illegalSql | String | “” | 垃圾SQL攔截 |
實踐應用
在維修小程式中,我使用了此方案。如下是我的程式碼:
/**
* @ClassName MyDataPermissionHandler
* @Description 自定義資料許可權處理
* @Author FangCheng
* @Date 2022/4/2 14:54
**/
@Component
public class MyDataPermissionHandler implements DataPermissionHandler {
@Autowired
@Lazy
private UserRepository userRepository;
@Override
public Expression getSqlSegment(Expression where, String mappedStatementId) {
try {
Class<?> clazz = Class.forName(mappedStatementId.substring(0, mappedStatementId.lastIndexOf(".")));
String methodName = mappedStatementId.substring(mappedStatementId.lastIndexOf(".") + 1);
Method[] methods = clazz.getDeclaredMethods();
for (Method method : methods) {
if (!methodName.equals(method.getName())) {
continue;
}
// 獲取自定義註解,無此註解則不控制資料許可權
CustomDataPermission annotation = method.getAnnotation(CustomDataPermission.class);
if (annotation == null) {
continue;
}
// 自定義的使用者上下文,獲取到使用者的id
ContextUserDetails contextUserDetails = UserDetailsContextHolder.getContextUserDetails();
String userId = contextUserDetails.getId();
User user = userRepository.selectUserById(userId);
// 如果是特權使用者,不控制資料許可權
if (Constants.ADMIN_RULE == user.getAdminuser()) {
return where;
}
// 員工使用者
if (UserTypeEnum.USER_TYPE_EMPLOYEE.getCode().equals(user.getUsertype())) {
// 員工使用者的許可權欄位
String field = annotation.field().getValue();
// 單據型別
String billType = annotation.billType().getFuncno();
// 操作型別
OperationTypeEnum operationType = annotation.operation();
// 許可權欄位為空則為不控制資料許可權
if (StringUtils.isNotEmpty(field)) {
List<DataPermission> dataPermissions = userRepository.selectUserFuncnoDataPermission(userId, billType);
if (dataPermissions.size() == 0) {
// 沒資料許可權,但有功能許可權則取所有資料
return where;
}
// 構建in表示式
InExpression inExpression = new InExpression();
inExpression.setLeftExpression(new Column(field));
List<Expression> conditions = null;
switch(operationType) {
case SELECT:
conditions = dataPermissions.stream().map(res -> new StringValue(res.getStkid())).collect(Collectors.toList());
break;
case INSERT:
conditions = dataPermissions.stream().filter(DataPermission::isAddright).map(res -> new StringValue(res.getStkid())).collect(Collectors.toList());
break;
case UPDATE:
conditions = dataPermissions.stream().filter(DataPermission::isModright).map(res -> new StringValue(res.getStkid())).collect(Collectors.toList());
break;
case APPROVE:
conditions = dataPermissions.stream().filter(DataPermission::isCheckright).map(res -> new StringValue(res.getStkid())).collect(Collectors.toList());
break;
default:
break;
}
if (conditions == null) {
return where;
}
conditions.add(new StringValue(Constants.ALL_STORE));
ItemsList itemsList = new ExpressionList(conditions);
inExpression.setRightItemsList(itemsList);
if (where == null) {
return inExpression;
}
return new AndExpression(where, inExpression);
} else {
return where;
}
} else {
// 供應商使用者的許可權欄位
String field = annotation.vendorfield().getValue();
if (StringUtils.isNotEmpty(field)) {
// 供應商如果控制許可權,則只能看到自己的單據。直接使用EqualsTo
EqualsTo equalsTo = new EqualsTo();
equalsTo.setLeftExpression(new Column(field));
equalsTo.setRightExpression(new StringValue(userId));
if (where == null) {
return equalsTo;
}
// 建立 AND 表示式 拼接Where 和 = 表示式
return new AndExpression(where, equalsTo);
} else {
return where;
}
}
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
return where;
}
}
/**
* @ClassName MybatisConfig
* @Description mybatis設定
* @Author FangCheng
* @Date 2022/4/2 15:32
**/
@Configuration
public class MybatisConfig {
@Autowired
private MyDataPermissionHandler myDataPermissionHandler;
@Bean
public MybatisPlusInterceptor mybatisPlusInterceptor() {
MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
// 新增資料許可權外掛
DataPermissionInterceptor dataPermissionInterceptor = new DataPermissionInterceptor();
// 新增自定義的資料許可權處理器
dataPermissionInterceptor.setDataPermissionHandler(myDataPermissionHandler);
interceptor.addInnerInterceptor(dataPermissionInterceptor);
// 分頁外掛
//interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.SQL_SERVER));
return interceptor;
}
}
因為維修小程式相當於一個外掛程式,他的許可權控制延用了七八年前程式的方案,設計的較為複雜,也有現成獲取資料的儲存過程供我們使用,此處做了一些特殊處理。增加了自定義註解、dataPermissionHandler介面實現類查詢了資料庫呼叫儲存過程獲取許可權資訊等。
自定義註解
/**
* @ClassName CustomDataPermission
* @Description 自定義資料許可權註解
* @Author FangCheng
* @Date 2022/4/6 10:24
**/
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface CustomDataPermission {
PermissionFieldEnum field();
PermissionFieldEnum vendorfield();
BillTypeEnum billType();
OperationTypeEnum operation();
}
使用註解
/**
* @ClassName ApplyHMapper
* @Description 維修申請單主表
* @Author FangCheng
* @Date 2022/4/6 13:06
**/
@Mapper
public interface ApplyHMapper extends BaseMapper<ApplyHPo> {
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName selectApplyHs
*/
@CustomDataPermission(field = PermissionFieldEnum.FIELD_STKID,
vendorfield = PermissionFieldEnum.FIELD_EMPTY,
billType = BillTypeEnum.APPLY_BILL,
operation = OperationTypeEnum.SELECT)
Page<ApplyHPo> selectApplyHs(IPage<ApplyHPo> page, @Param(Constants.WRAPPER) QueryWrapper<ApplyHPo> queryWrapper);
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName selectApplyHsForVendor
*/
Page<ApplyHPo> selectApplyHsForVendor(IPage<ApplyHPo> page, @Param("vendorid") String vendorid, @Param(Constants.WRAPPER) QueryWrapper<ApplyHPo> queryWrapper);
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName selectApplyH
*/
@CustomDataPermission(field = PermissionFieldEnum.FIELD_STKID,
vendorfield = PermissionFieldEnum.FIELD_EMPTY,
billType = BillTypeEnum.APPLY_BILL,
operation = OperationTypeEnum.SELECT)
ApplyHPo selectApplyH(@Param("billNo") String billNo);
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName selectApplyH
*/
@InterceptorIgnore
ApplyHPo selectApplyHNoPermission(@Param("billNo") String billNo);
/**
* @Description:
* @author FangCheng
* @Date: 2022/4/1 15:26
* @methodName saveApplyH
*/
void saveApplyH(ApplyHPo applyHPo);
}
最終的效果
2022-04-24 09:14:52.878 DEBUG 29254 --- [nio-8086-exec-2] c.y.w.i.p.m.ApplyHMapper.selectApplyHs : ==> select * from t_mt_apply_h WHERE stkid IN ('0025', 'all')
總結
以上就是今天要講的內容,本文僅僅簡單介紹了Mybatis-plus資料許可權介面DataPermissionInterceptor的一種實現方式,沒有過多的深入研究。
部分內容參考:
Mybatis-Plus入門系列(3)- MybatisPlus之資料許可權外掛DataPermissionInterceptor
@InterceptorIgnore
到此這篇關於Mybatis-plus資料許可權DataPermissionInterceptor實現的文章就介紹到這了,更多相關Mybatis-plus DataPermissionInterceptor內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com!
相關文章
-
黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列
综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所
2021-06-01 09:31:42
-
吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!
除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让
2021-06-01 09:31:34
-
IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?
目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加
2021-06-01 09:31:24
-
有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊
开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的
2021-06-01 09:30:48
-
iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?
不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它
2021-06-01 09:30:45