當前位置: 妍妍網 > 碼農

巧用 MyBatis Plus 實作數據許可權控制

2024-06-24碼農

來源:https://blog.csdn.net/yiqiu1959/article/details/128923821

# 前言

平時開發中遇到根據當前使用者的角色,只能檢視數據許可權範圍的數據需求。列表實作方案有兩種,一是在開發初期就做好判斷賽選,但如果這個需求是中途加的,或不希望每個介面都加一遍,就可以方案二加攔截器的方式。在mybatis執行sql前修改語句,限定where範圍。

當然攔截器生效後是全域性的,如何保證只對需要的介面進行攔截和轉化,就可以套用註解進行辨識

因此具體需要哪些步驟就明確了

  • 建立註解類

  • 建立攔截器實作InnerInterceptor介面,重寫查詢方法

  • 建立處理類,獲取數據許可權 SQL 片段,設定where

  • 將攔截器加到MyBatis-Plus外掛程式中

  • 上程式碼(基礎版)

    自訂註解

    importjava.lang.annotation.ElementType;importjava.lang.annotation.Retention;importjava.lang.annotation.RetentionPolicy;importjava.lang.annotation.Target;@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface UserDataPermission {}

    攔截器

    import com.baomidou.mybatisplus.core.plugins.InterceptorIgnoreHelper;import com.baomidou.mybatisplus.core.toolkit.PluginUtils;import com.baomidou.mybatisplus.extension.parser.JsqlParserSupport;import com.baomidou.mybatisplus.extension.plugins.inner.InnerInterceptor;import lombok.*;import net.sf.jsqlparser.expression.Expression;import net.sf.jsqlparser.statement.select.PlainSelect;import net.sf.jsqlparser.statement.select.Select;import net.sf.jsqlparser.statement.select.SelectBody;import net.sf.jsqlparser.statement.select.SetOperationList;import org.apache.ibatis.executor.Executor;import org.apache.ibatis.mapping.BoundSql;import org.apache.ibatis.mapping.MappedStatement;import org.apache.ibatis.session.ResultHandler;import org.apache.ibatis.session.RowBounds;import java.sql.SQLException;import java.util.List;@Data@NoArgsConstructor@AllArgsConstructor@ToString(callSuper = true)@EqualsAndHashCode(callSuper = true)public classMyDataPermissionInterceptorextendsJsqlParserSupportimplementsInnerInterceptor{/** * 數據許可權處理器 */private MyDataPermissionHandler dataPermissionHandler;@OverridepublicvoidbeforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql)throws SQLException {if (InterceptorIgnoreHelper.willIgnoreDataPermission(ms.getId())) {return; } PluginUtils.MPBoundSql mpBs = PluginUtils.mpBoundSql(boundSql); mpBs.sql(this.parserSingle(mpBs.sql(), ms.getId())); }@OverrideprotectedvoidprocessSelect(Select select, int index, String sql, Object obj){ SelectBody selectBody = select.getSelectBody();if (selectBody instanceof PlainSelect) {this.setWhere((PlainSelect) selectBody, (String) obj); } elseif (selectBody instanceof SetOperationList) { SetOperationList setOperationList = (SetOperationList) selectBody; List<SelectBody> selectBodyList = setOperationList.getSelects(); selectBodyList.forEach(s -> this.setWhere((PlainSelect) s, (String) obj)); } }/** * 設定 where 條件 * * @param plainSelect 查詢物件 * @param whereSegment 查詢條件片段 */privatevoidsetWhere(PlainSelect plainSelect, String whereSegment){ Expression sqlSegment = this.dataPermissionHandler.getSqlSegment(plainSelect, whereSegment);if (null != sqlSegment) { plainSelect.setWhere(sqlSegment); } }}

    攔截器處理器

    基礎只涉及 = 運算式,要查詢集合範圍 in 看進階版用例

    import cn.hutool.core.collection.CollectionUtil;import lombok.SneakyThrows;import lombok.extern.slf4j.Slf4j;import net.sf.jsqlparser.expression.Alias;import net.sf.jsqlparser.expression.Expression;import net.sf.jsqlparser.expression.HexValue;import net.sf.jsqlparser.expression.StringValue;import net.sf.jsqlparser.expression.operators.conditional.AndExpression;import net.sf.jsqlparser.expression.operators.relational.EqualsTo;import net.sf.jsqlparser.expression.operators.relational.ExpressionList;import net.sf.jsqlparser.expression.operators.relational.InExpression;import net.sf.jsqlparser.expression.operators.relational.ItemsList;import net.sf.jsqlparser.schema.Column;import net.sf.jsqlparser.schema.Table;import net.sf.jsqlparser.statement.select.PlainSelect;import java.lang.reflect.Method;import java.util.List;import java.util.Objects;import java.util.Set;import java.util.stream.Collectors;@Slf4jpublic classMyDataPermissionHandler{/** * 獲取數據許可權 SQL 片段 * * @param plainSelect 查詢物件 * @param whereSegment 查詢條件片段 * @return JSqlParser 條件運算式 */ @SneakyThrows(Exception. class)publicExpression getSqlSegment(PlainSelect plainSelect, String whereSegment) {// 待執行 SQL Where 條件運算式Expressionwhere = plainSelect.getWhere();if (where == null) {where = new HexValue(" 1 = 1 "); } log.info("開始進行許可權過濾,where: {},mappedStatementId: {}", where, whereSegment);//獲取mapper名稱String className = whereSegment.substring(0, whereSegment.lastIndexOf("."));//獲取方法名String methodName = whereSegment.substring(whereSegment.lastIndexOf(".") + 1);Table fromItem = (Table) plainSelect.getFromItem();// 有別名用別名,無別名用表名,防止欄位沖突報錯Alias fromItemAlias = fromItem.getAlias();String mainTableName = fromItemAlias == null ? fromItem.getName() : fromItemAlias.getName();//獲取當前mapper 的方法Method[] methods = class.forName( className).getMethods();//遍歷判斷mapper 的所以方法,判斷方法上是否有 UserDataPermissionfor (Method m : methods) {if (Objects.equals(m.getName(), methodName)) {UserDataPermission annotation = m.getAnnotation(UserDataPermission. class);if (annotation == null) {returnwhere; }// 1、當前使用者CodeUser user = SecurityUtils.getUser();// 檢視自己的數據// = 運算式EqualsTo usesEqualsTo = new EqualsTo(); usesEqualsTo.setLeftExpression(new Column(mainTableName + ".creator_code")); usesEqualsTo.setRightExpression(new StringValue(user.getUserCode()));return new AndExpression(where, usesEqualsTo); } }//說明無權檢視,where = new HexValue(" 1 = 2 ");returnwhere; }}

    將攔截器加到MyBatis-Plus外掛程式中

    如果你之前計畫配外掛程式 ,直接用下面方式就行

    @Beanpublic MybatisPlusInterceptor mybatisPlusInterceptor(){ MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();// 添加數據許可權外掛程式 MyDataPermissionInterceptor dataPermissionInterceptor = new MyDataPermissionInterceptor();// 添加自訂的數據許可權處理器 dataPermissionInterceptor.setDataPermissionHandler(new MyDataPermissionHandler()); interceptor.addInnerInterceptor(dataPermissionInterceptor); interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));return interceptor; }

    但如果你計畫之前是依賴包依賴,或有公司內部統一攔截設定好,也可以往MybatisPlusInterceptor進行插入,避免影響原有計畫配置

    @Beanpublic MyDataPermissionInterceptor myInterceptor(MybatisPlusInterceptor mybatisPlusInterceptor){ MyDataPermissionInterceptor sql = new MyDataPermissionInterceptor(); sql.setDataPermissionHandler(new MyDataPermissionHandler()); List<InnerInterceptor> list = new ArrayList<>();// 添加數據許可權外掛程式list.add(sql);// 分頁外掛程式 mybatisPlusInterceptor.setInterceptors(list);list.add(new PaginationInnerInterceptor(DbType.MYSQL));return sql; }

    以上就是簡單版的是攔截器修改語句使用

    使用方式

    在mapper層添加註解即可

    @UserDataPermission List<CustomerAllVO> selectAllCustomerPage(IPage<CustomerAllVO> page, @Param("customerName")String customerName);

    進階版

    基礎班只是能用,業務功能沒有特別約束,先保證能跑起來

    進階版 解決兩個問題:

  • 加了角色,用角色決定範圍

  • 解決不是mapper層自訂sql查詢問題。

  • 兩個是完全獨立的問題 ,可根據情況分開解決

    解決不是mapper層自訂sql查詢問題。

    例如我們名稱簡單的sql語句 直接在Service層用mybatisPluse內建的方法

    xxxxService.list(Wrapper<T> queryWrapper)xxxxService.page(new Page<>(),Wrapper<T> queryWrapper)

    以上這種我應該把註解加哪裏呢

    因為service層,本質上還是調mapper層, 所以還是在mapper層做文章,原來的mapper實作了extends BaseMapper 介面,所以能夠查詢,我們要做的就是在 mapper層中間套一個中間介面,來方便我們加註解

    xxxxxMapper ——】DataPermissionMapper(中間) ——】BaseMapper

    根據自身需要,在重寫的介面方法上加註解即可,這樣就影響原先的程式碼

    import com.baomidou.mybatisplus.core.conditions.Wrapper;import com.baomidou.mybatisplus.core.mapper.BaseMapper;import com.baomidou.mybatisplus.core.metadata.IPage;import com.baomidou.mybatisplus.core.toolkit.Constants;import org.apache.ibatis.annotations.Param;import java.io.Serializable;import java.util.Collection;import java.util.List;import java.util.Map;publicinterface DataPermissionMapper<T> extends BaseMapper<T> {/** * 根據 ID 查詢 * * @param id 主鍵ID */@Override@UserDataPermission T selectById(Serializable id);/** * 查詢(根據ID 批次查詢) * * @param idList 主鍵ID列表(不能為 null 以及 empty) */@Override@UserDataPermission List<T> selectBatchIds(@Param(Constants.COLLECTION) Collection<? extends Serializable> idList);/** * 查詢(根據 columnMap 條件) * * @param columnMap 表欄位 map 物件 */@Override@UserDataPermission List<T> selectByMap(@Param(Constants.COLUMN_MAP) Map<String, Object> columnMap);/** * 根據 entity 條件,查詢一條記錄 * * @param queryWrapper 實體物件封裝操作類(可以為 null) */@Override@UserDataPermission T selectOne(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);/** * 根據 Wrapper 條件,查詢總記錄數 * * @param queryWrapper 實體物件封裝操作類(可以為 null) */@Override@UserDataPermission Integer selectCount(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);/** * 根據 entity 條件,查詢全部記錄 * * @param queryWrapper 實體物件封裝操作類(可以為 null) */@Override@UserDataPermission List<T> selectList(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);/** * 根據 Wrapper 條件,查詢全部記錄 * * @param queryWrapper 實體物件封裝操作類(可以為 null) */@Override@UserDataPermission List<Map<String, Object>> selectMaps(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);/** * 根據 Wrapper 條件,查詢全部記錄 * <p>註意: 只返回第一個欄位的值</p> * * @param queryWrapper 實體物件封裝操作類(可以為 null) */@Override@UserDataPermission List<Object> selectObjs(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);/** * 根據 entity 條件,查詢全部記錄(並翻頁) * * @param page 分頁查詢條件(可以為 RowBounds.DEFAULT) * @param queryWrapper 實體物件封裝操作類(可以為 null) */@Override@UserDataPermission <E extends IPage<T>> E selectPage(E page, @Param(Constants.WRAPPER) Wrapper<T> queryWrapper);/** * 根據 Wrapper 條件,查詢全部記錄(並翻頁) * * @param page 分頁查詢條件 * @param queryWrapper 實體物件封裝操作類 */@Override@UserDataPermission <E extends IPage<Map<String, Object>>> E selectMapsPage(E page, @Param(Constants.WRAPPER) Wrapper<T> queryWrapper);}

    解決角色控制查詢範圍

    引入角色,我們先假設有三種角色,按照常規的業務需求,一種是管理員檢視全部、一種是部門管理檢視本部門、一種是僅檢視自己。

    有了以上假設,就可以設定列舉類編寫業務邏輯, 對是業務邏輯,所以我們只需要更改」攔截器處理器類「

  • 建立範圍列舉

  • 建立角色列舉以及範圍關聯關系

  • 重寫攔截器處理方法

  • 範圍列舉

    @AllArgsConstructor@Getterpublicenum DataScope {// Scope 數據許可權範圍 : ALL(全部)、DEPT(部門)、MYSELF(自己) ALL("ALL"), DEPT("DEPT"), MYSELF("MYSELF");privateString name;}

    角色列舉

    @AllArgsConstructor@Getterpublicenum DataPermission {// 列舉型別根據範圍從前往後排列,避免影響getScope// Scope 數據許可權範圍 : ALL(全部)、DEPT(部門)、MYSELF(自己) DATA_MANAGER("數據管理員", "DATA_MANAGER",DataScope.ALL), DATA_AUDITOR("數據稽核員", "DATA_AUDITOR",DataScope.DEPT), DATA_OPERATOR("數據業務員", "DATA_OPERATOR",DataScope.MYSELF);privateString name;privateString code;private DataScope scope;publicstaticString getName(String code) {for (DataPermission type : DataPermission.values()) {if (type.getCode().equals(code)) {returntype.getName(); } }returnnull; }publicstaticString getCode(String name) {for (DataPermission type : DataPermission.values()) {if (type.getName().equals(name)) {returntype.getCode(); } }returnnull; }publicstatic DataScope getScope(Collection<String> code) {for (DataPermission type : DataPermission.values()) {for (String v : code) {if (type.getCode().equals(v)) {returntype.getScope(); } } }return DataScope.MYSELF; }}

    重寫攔截器處理類 MyDataPermissionHandler

    import lombok.SneakyThrows;import lombok.extern.slf4j.Slf4j;import net.sf.jsqlparser.expression.Alias;import net.sf.jsqlparser.expression.Expression;import net.sf.jsqlparser.expression.HexValue;import net.sf.jsqlparser.expression.StringValue;import net.sf.jsqlparser.expression.operators.conditional.AndExpression;import net.sf.jsqlparser.expression.operators.relational.EqualsTo;import net.sf.jsqlparser.expression.operators.relational.ExpressionList;import net.sf.jsqlparser.expression.operators.relational.InExpression;import net.sf.jsqlparser.expression.operators.relational.ItemsList;import net.sf.jsqlparser.schema.Column;import net.sf.jsqlparser.schema.Table;import net.sf.jsqlparser.statement.select.PlainSelect;import java.lang.reflect.Method;import java.util.List;import java.util.Objects;import java.util.Set;import java.util.stream.Collectors;@Slf4jpublic classMyDataPermissionHandler{privateRemoteRoleService remoteRoleService;privateRemoteUserService remoteUserService;/** * 獲取數據許可權 SQL 片段 * * @param plainSelect 查詢物件 * @param whereSegment 查詢條件片段 * @return JSqlParser 條件運算式 */ @SneakyThrows(Exception. class)publicExpression getSqlSegment(PlainSelect plainSelect, String whereSegment) { remoteRoleService = SpringUtil.getBean(RemoteRoleService. class); remoteUserService = SpringUtil.getBean(RemoteUserService. class);// 待執行 SQL Where 條件運算式Expressionwhere = plainSelect.getWhere();if (where == null) {where = new HexValue(" 1 = 1 "); } log.info("開始進行許可權過濾,where: {},mappedStatementId: {}", where, whereSegment);//獲取mapper名稱String className = whereSegment.substring(0, whereSegment.lastIndexOf("."));//獲取方法名String methodName = whereSegment.substring(whereSegment.lastIndexOf(".") + 1);Table fromItem = (Table) plainSelect.getFromItem();// 有別名用別名,無別名用表名,防止欄位沖突報錯Alias fromItemAlias = fromItem.getAlias();String mainTableName = fromItemAlias == null ? fromItem.getName() : fromItemAlias.getName();//獲取當前mapper 的方法Method[] methods = class.forName( className).getMethods();//遍歷判斷mapper 的所以方法,判斷方法上是否有 UserDataPermissionfor (Method m : methods) {if (Objects.equals(m.getName(), methodName)) {UserDataPermission annotation = m.getAnnotation(UserDataPermission. class);if (annotation == null) {returnwhere; }// 1、當前使用者CodeUser user = SecurityUtils.getUser();// 2、當前角色即角色或角色型別(可能多種角色)Set<String> roleTypeSet = remoteRoleService.currentUserRoleType();DataScope scopeType = DataPermission.getScope(roleTypeSet);switch (scopeType) {// 檢視全部caseALL:returnwhere;caseDEPT:// 檢視本部門使用者數據// 建立IN 運算式// 建立IN範圍的元素集合List<String> deptUserList = remoteUserService.listUserCodesByDeptCodes(user.getDeptCode());// 把集合轉變為JSQLParser需要的元素列表ItemsList deptList = new ExpressionList(deptUserList.stream().map(StringValue::new).collect(Collectors.toList()));InExpression inExpressiondept = new InExpression(new Column(mainTableName + ".creator_code"), deptList);return new AndExpression(where, inExpressiondept);caseMYSELF:// 檢視自己的數據// = 運算式EqualsTo usesEqualsTo = new EqualsTo(); usesEqualsTo.setLeftExpression(new Column(mainTableName + ".creator_code")); usesEqualsTo.setRightExpression(new StringValue(user.getUserCode()));return new AndExpression(where, usesEqualsTo);default:break; } } }//說明無權檢視,where = new HexValue(" 1 = 2 ");returnwhere; }}

    以上就是全篇知識點, 需要註意的點可能有:

  • 記得把攔截器加到MyBatis-Plus的外掛程式中,確保生效

  • 要有一個業務賽選標識欄位, 這裏用的建立人 creator_code, 也可以用dept_code 等等

  • 熱門推薦