資料許可權(若依框架)
阿新 • • 發佈:2022-04-05
轉載
資料許可權(若依框架)
資料許可權說明:不同的使用者檢視到的資料不一樣。比如,部門經理可以檢視屬於該部門的所有資料,該部門普通員工只能檢視屬於自己的資料。
若依框架使用的策略是:
-
角色表中通過資料範圍欄位來控制角色。
-
資料範圍欄位取值說明:1:全部資料許可權 2:自定資料許可權 3:本部門資料許可權 4:本部門及以下資料 許可權 5:僅本人資料許可權
-
使用者發起請求,後臺獲取使用者的角色,從角色中讀取資料範圍欄位,拼接sql,執行查詢操作。
例子說明:查詢使用者資訊,該例子針對一個使用者只用一個角色。
1. 定義通用sql
select u. user_id, u.dept_id, u.nick_name, u.user_name, u.email, u.avatar, u.phonenumber, u.password, u.sex, u.status, u.del_flag, u.login_ip, u.login_date, u.create_by, u.create_time, u.remark, d.dept_name, d.leader from sys_user u
left join sys_dept d on u.dept_id = d.dept_id
where u.del_flag = '0'
2. 獲取使用者角色的資料範圍欄位,進行拼接sql。
如果資料範圍為 全部資料許可權 : sql + "";
如果資料範圍為 本部門資料許可權: sql + d.dept_id = 登入使用者的部門id;
如果資料範圍為 僅本人資料許可權: sql + u.user_id = 登入使用者的id;
程式碼分析
核心邏輯是sql的拼接,使用的是Aop技術實現。
自定義註解類
註解類中的欄位是用來拼接sql時,獲取表的別名。
/**
* 資料許可權過濾註解
*
* @author ruoyi
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataScope
{
/**
* 部門表的別名
*/
public String deptAlias() default "";
/**
* 使用者表的別名
*/
public String userAlias() default "";
}
切面類DataScopeAspect
切點為自定的註解DataScope, 使用的是前置通知。當方法使用了DataScope註解,在執行該方法前會被攔截。執行DataScopeAspect的doBefore方法。最後呼叫dataScopeFilter來處理需要拼接的sql。最後把需要拼接的sql存入到BaseEntity物件中。(所有的實體類都繼承來了BaseEntity類,這是關鍵)
/**
* 資料過濾處理
*
* @author ruoyi
*/
@Aspect
@Component
public class DataScopeAspect
{
/**
* 全部資料許可權
*/
public static final String DATA_SCOPE_ALL = "1";
/**
* 自定資料許可權
*/
public static final String DATA_SCOPE_CUSTOM = "2";
/**
* 部門資料許可權
*/
public static final String DATA_SCOPE_DEPT = "3";
/**
* 部門及以下資料許可權
*/
public static final String DATA_SCOPE_DEPT_AND_CHILD = "4";
/**
* 僅本人資料許可權
*/
public static final String DATA_SCOPE_SELF = "5";
/**
* 資料許可權過濾關鍵字
*/
public static final String DATA_SCOPE = "dataScope";
// 配置織入點
@Pointcut("@annotation(com.ruoyi.common.annotation.DataScope)")
public void dataScopePointCut()
{
}
@Before("dataScopePointCut()")
public void doBefore(JoinPoint point) throws Throwable
{
handleDataScope(point);
}
protected void handleDataScope(final JoinPoint joinPoint)
{
// 獲得註解
DataScope controllerDataScope = getAnnotationLog(joinPoint);
if (controllerDataScope == null)
{
return;
}
// 獲取當前的使用者
LoginUser loginUser = SpringUtils.getBean(TokenService.class).getLoginUser(ServletUtils.getRequest());
if (StringUtils.isNotNull(loginUser))
{
SysUser currentUser = loginUser.getUser();
// 如果是超級管理員,則不過濾資料
if (StringUtils.isNotNull(currentUser) && !currentUser.isAdmin())
{
dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(),
controllerDataScope.userAlias());
}
}
}
/**
* 資料範圍過濾
*
* @param joinPoint 切點
* @param user 使用者
* @param userAlias 別名
*/
public static void dataScopeFilter(JoinPoint joinPoint, SysUser user, String deptAlias, String userAlias)
{
StringBuilder sqlString = new StringBuilder();
for (SysRole role : user.getRoles())
{
String dataScope = role.getDataScope();
if (DATA_SCOPE_ALL.equals(dataScope))
{
sqlString = new StringBuilder();
break;
}
else if (DATA_SCOPE_CUSTOM.equals(dataScope))
{
sqlString.append(StringUtils.format(
" OR {}.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id = {} ) ", deptAlias,
role.getRoleId()));
}
else if (DATA_SCOPE_DEPT.equals(dataScope))
{
sqlString.append(StringUtils.format(" OR {}.dept_id = {} ", deptAlias, user.getDeptId()));
}
else if (DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope))
{
sqlString.append(StringUtils.format(
" OR {}.dept_id IN ( SELECT dept_id FROM sys_dept WHERE dept_id = {} or find_in_set( {} , ancestors ) )",
deptAlias, user.getDeptId(), user.getDeptId()));
}
else if (DATA_SCOPE_SELF.equals(dataScope))
{
if (StringUtils.isNotBlank(userAlias))
{
sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId()));
}
else
{
// 資料許可權為僅本人且沒有userAlias別名不查詢任何資料
sqlString.append(" OR 1=0 ");
}
}
}
if (StringUtils.isNotBlank(sqlString.toString()))
{
Object params = joinPoint.getArgs()[0];
if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
{
BaseEntity baseEntity = (BaseEntity) params;
baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");
}
}
}
/**
* 是否存在註解,如果存在就獲取
*/
private DataScope getAnnotationLog(JoinPoint joinPoint)
{
Signature signature = joinPoint.getSignature();
MethodSignature methodSignature = (MethodSignature) signature;
Method method = methodSignature.getMethod();
if (method != null)
{
return method.getAnnotation(DataScope.class);
}
return null;
}
}
Mapper.xml
通過${params.dataScope}來完成sql的拼接。params是實體類父類中的屬性型別,型別為Map。從該屬性中可以獲取到需要拼接的sql。需要拼接的sql是在切面類中前置方法中存入的。(baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + “)”);)
<select id="selectUserList" parameterType="SysUser" resultMap="SysUserResult">
select u.user_id, u.dept_id, u.nick_name, u.user_name, u.email, u.avatar, u.phonenumber, u.password, u.sex, u.status, u.del_flag, u.login_ip, u.login_date, u.create_by, u.create_time, u.remark, d.dept_name, d.leader from sys_user u
left join sys_dept d on u.dept_id = d.dept_id
where u.del_flag = '0'
<if test="userName != null and userName != ''">
AND u.user_name like concat('%', #{userName}, '%')
</if>
<if test="status != null and status != ''">
AND u.status = #{status}
</if>
<if test="phonenumber != null and phonenumber != ''">
AND u.phonenumber like concat('%', #{phonenumber}, '%')
</if>
<if test="params.beginTime != null and params.beginTime != ''"><!-- 開始時間檢索 -->
AND date_format(u.create_time,'%y%m%d') >= date_format(#{params.beginTime},'%y%m%d')
</if>
<if test="params.endTime != null and params.endTime != ''"><!-- 結束時間檢索 -->
AND date_format(u.create_time,'%y%m%d') <= date_format(#{params.endTime},'%y%m%d')
</if>
<if test="deptId != null and deptId != 0">
AND (u.dept_id = #{deptId} OR u.dept_id IN ( SELECT t.dept_id FROM sys_dept t WHERE find_in_set(#{deptId}, ancestors) ))
</if>
<!-- 資料範圍過濾 -->
${params.dataScope}
</select>
程式碼中的使用
class: com.ruoyi.system.service.impl.SysUserServiceImpl
@Override
@DataScope(deptAlias = "d", userAlias = "u")
public List<SysUser> selectUserList(SysUser user)
{
return userMapper.selectUserList(user);
}