來源:https://blog.csdn.net/yiqiu1959/article/details/128923821
# 前言
平時開發中遇到根據當前使用者的角色,只能檢視數據許可權範圍的數據需求。列表實作方案有兩種,一是在開發初期就做好判斷賽選,但如果這個需求是中途加的,或不希望每個介面都加一遍,就可以方案二加攔截器的方式。在mybatis執行sql前修改語句,限定where範圍。
當然攔截器生效後是全域性的,如何保證只對需要的介面進行攔截和轉化,就可以套用註解進行辨識
因此具體需要哪些步驟就明確了
建立註解類
建立攔截器實作InnerInterceptor介面,重寫查詢方法
建立處理類,獲取數據許可權 SQL 片段,設定where
將攔截器加到MyBatis-Plus外掛程式中
上程式碼(基礎版)
自訂註解
importjava.lang.annotation.ElementType;
importjava.lang.annotation.Retention;
importjava.lang.annotation.RetentionPolicy;
importjava.lang.annotation.Target;
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserDataPermission {
}
攔截器
import com.baomidou.mybatisplus.core.plugins.InterceptorIgnoreHelper;
import com.baomidou.mybatisplus.core.toolkit.PluginUtils;
import com.baomidou.mybatisplus.extension.parser.JsqlParserSupport;
import com.baomidou.mybatisplus.extension.plugins.inner.InnerInterceptor;
import lombok.*;
import net.sf.jsqlparser.expression.Expression;
import net.sf.jsqlparser.statement.select.PlainSelect;
import net.sf.jsqlparser.statement.select.Select;
import net.sf.jsqlparser.statement.select.SelectBody;
import net.sf.jsqlparser.statement.select.SetOperationList;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;
import java.sql.SQLException;
import java.util.List;
@Data
@NoArgsConstructor
@AllArgsConstructor
@ToString(callSuper = true)
@EqualsAndHashCode(callSuper = true)
public classMyDataPermissionInterceptorextendsJsqlParserSupportimplementsInnerInterceptor{
/**
* 數據許可權處理器
*/
private MyDataPermissionHandler dataPermissionHandler;
@Override
publicvoidbeforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql)throws SQLException {
if (InterceptorIgnoreHelper.willIgnoreDataPermission(ms.getId())) {
return;
}
PluginUtils.MPBoundSql mpBs = PluginUtils.mpBoundSql(boundSql);
mpBs.sql(this.parserSingle(mpBs.sql(), ms.getId()));
}
@Override
protectedvoidprocessSelect(Select select, int index, String sql, Object obj){
SelectBody selectBody = select.getSelectBody();
if (selectBody instanceof PlainSelect) {
this.setWhere((PlainSelect) selectBody, (String) obj);
} elseif (selectBody instanceof SetOperationList) {
SetOperationList setOperationList = (SetOperationList) selectBody;
List<SelectBody> selectBodyList = setOperationList.getSelects();
selectBodyList.forEach(s -> this.setWhere((PlainSelect) s, (String) obj));
}
}
/**
* 設定 where 條件
*
* @param plainSelect 查詢物件
* @param whereSegment 查詢條件片段
*/
privatevoidsetWhere(PlainSelect plainSelect, String whereSegment){
Expression sqlSegment = this.dataPermissionHandler.getSqlSegment(plainSelect, whereSegment);
if (null != sqlSegment) {
plainSelect.setWhere(sqlSegment);
}
}
}
攔截器處理器
基礎只涉及 = 運算式,要查詢集合範圍 in 看進階版用例
import cn.hutool.core.collection.CollectionUtil;
import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;
import net.sf.jsqlparser.expression.Alias;
import net.sf.jsqlparser.expression.Expression;
import net.sf.jsqlparser.expression.HexValue;
import net.sf.jsqlparser.expression.StringValue;
import net.sf.jsqlparser.expression.operators.conditional.AndExpression;
import net.sf.jsqlparser.expression.operators.relational.EqualsTo;
import net.sf.jsqlparser.expression.operators.relational.ExpressionList;
import net.sf.jsqlparser.expression.operators.relational.InExpression;
import net.sf.jsqlparser.expression.operators.relational.ItemsList;
import net.sf.jsqlparser.schema.Column;
import net.sf.jsqlparser.schema.Table;
import net.sf.jsqlparser.statement.select.PlainSelect;
import java.lang.reflect.Method;
import java.util.List;
import java.util.Objects;
import java.util.Set;
import java.util.stream.Collectors;
@Slf4j
public classMyDataPermissionHandler{
/**
* 獲取數據許可權 SQL 片段
*
* @param plainSelect 查詢物件
* @param whereSegment 查詢條件片段
* @return JSqlParser 條件運算式
*/
@SneakyThrows(Exception. class)
publicExpression getSqlSegment(PlainSelect plainSelect, String whereSegment) {
// 待執行 SQL Where 條件運算式
Expressionwhere = plainSelect.getWhere();
if (where == null) {
where = new HexValue(" 1 = 1 ");
}
log.info("開始進行許可權過濾,where: {},mappedStatementId: {}", where, whereSegment);
//獲取mapper名稱
String className = whereSegment.substring(0, whereSegment.lastIndexOf("."));
//獲取方法名
String methodName = whereSegment.substring(whereSegment.lastIndexOf(".") + 1);
Table fromItem = (Table) plainSelect.getFromItem();
// 有別名用別名,無別名用表名,防止欄位沖突報錯
Alias fromItemAlias = fromItem.getAlias();
String mainTableName = fromItemAlias == null ? fromItem.getName() : fromItemAlias.getName();
//獲取當前mapper 的方法
Method[] methods = class.forName( className).getMethods();
//遍歷判斷mapper 的所以方法,判斷方法上是否有 UserDataPermission
for (Method m : methods) {
if (Objects.equals(m.getName(), methodName)) {
UserDataPermission annotation = m.getAnnotation(UserDataPermission. class);
if (annotation == null) {
returnwhere;
}
// 1、當前使用者Code
User user = SecurityUtils.getUser();
// 檢視自己的數據
// = 運算式
EqualsTo usesEqualsTo = new EqualsTo();
usesEqualsTo.setLeftExpression(new Column(mainTableName + ".creator_code"));
usesEqualsTo.setRightExpression(new StringValue(user.getUserCode()));
return new AndExpression(where, usesEqualsTo);
}
}
//說明無權檢視,
where = new HexValue(" 1 = 2 ");
returnwhere;
}
}
將攔截器加到MyBatis-Plus外掛程式中
如果你之前計畫配外掛程式 ,直接用下面方式就行
@Bean
public MybatisPlusInterceptor mybatisPlusInterceptor(){
MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
// 添加數據許可權外掛程式
MyDataPermissionInterceptor dataPermissionInterceptor = new MyDataPermissionInterceptor();
// 添加自訂的數據許可權處理器
dataPermissionInterceptor.setDataPermissionHandler(new MyDataPermissionHandler());
interceptor.addInnerInterceptor(dataPermissionInterceptor);
interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));
return interceptor;
}
但如果你計畫之前是依賴包依賴,或有公司內部統一攔截設定好,也可以往MybatisPlusInterceptor進行插入,避免影響原有計畫配置
@Bean
public MyDataPermissionInterceptor myInterceptor(MybatisPlusInterceptor mybatisPlusInterceptor){
MyDataPermissionInterceptor sql = new MyDataPermissionInterceptor();
sql.setDataPermissionHandler(new MyDataPermissionHandler());
List<InnerInterceptor> list = new ArrayList<>();
// 添加數據許可權外掛程式
list.add(sql);
// 分頁外掛程式
mybatisPlusInterceptor.setInterceptors(list);
list.add(new PaginationInnerInterceptor(DbType.MYSQL));
return sql;
}
以上就是簡單版的是攔截器修改語句使用
使用方式
在mapper層添加註解即可
@UserDataPermission
List<CustomerAllVO> selectAllCustomerPage(IPage<CustomerAllVO> page, @Param("customerName")String customerName);
進階版
基礎班只是能用,業務功能沒有特別約束,先保證能跑起來
進階版 解決兩個問題:
加了角色,用角色決定範圍
解決不是mapper層自訂sql查詢問題。
兩個是完全獨立的問題 ,可根據情況分開解決
解決不是mapper層自訂sql查詢問題。
例如我們名稱簡單的sql語句 直接在Service層用mybatisPluse內建的方法
xxxxService.list(Wrapper<T> queryWrapper)
xxxxService.page(new Page<>(),Wrapper<T> queryWrapper)
以上這種我應該把註解加哪裏呢
因為service層,本質上還是調mapper層, 所以還是在mapper層做文章,原來的mapper實作了extends BaseMapper 介面,所以能夠查詢,我們要做的就是在 mapper層中間套一個中間介面,來方便我們加註解
xxxxxMapper ——】DataPermissionMapper(中間) ——】BaseMapper
根據自身需要,在重寫的介面方法上加註解即可,這樣就影響原先的程式碼
import com.baomidou.mybatisplus.core.conditions.Wrapper;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.baomidou.mybatisplus.core.metadata.IPage;
import com.baomidou.mybatisplus.core.toolkit.Constants;
import org.apache.ibatis.annotations.Param;
import java.io.Serializable;
import java.util.Collection;
import java.util.List;
import java.util.Map;
publicinterface DataPermissionMapper<T> extends BaseMapper<T> {
/**
* 根據 ID 查詢
*
* @param id 主鍵ID
*/
@Override
@UserDataPermission
T selectById(Serializable id);
/**
* 查詢(根據ID 批次查詢)
*
* @param idList 主鍵ID列表(不能為 null 以及 empty)
*/
@Override
@UserDataPermission
List<T> selectBatchIds(@Param(Constants.COLLECTION) Collection<? extends Serializable> idList);
/**
* 查詢(根據 columnMap 條件)
*
* @param columnMap 表欄位 map 物件
*/
@Override
@UserDataPermission
List<T> selectByMap(@Param(Constants.COLUMN_MAP) Map<String, Object> columnMap);
/**
* 根據 entity 條件,查詢一條記錄
*
* @param queryWrapper 實體物件封裝操作類(可以為 null)
*/
@Override
@UserDataPermission
T selectOne(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
/**
* 根據 Wrapper 條件,查詢總記錄數
*
* @param queryWrapper 實體物件封裝操作類(可以為 null)
*/
@Override
@UserDataPermission
Integer selectCount(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
/**
* 根據 entity 條件,查詢全部記錄
*
* @param queryWrapper 實體物件封裝操作類(可以為 null)
*/
@Override
@UserDataPermission
List<T> selectList(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
/**
* 根據 Wrapper 條件,查詢全部記錄
*
* @param queryWrapper 實體物件封裝操作類(可以為 null)
*/
@Override
@UserDataPermission
List<Map<String, Object>> selectMaps(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
/**
* 根據 Wrapper 條件,查詢全部記錄
* <p>註意: 只返回第一個欄位的值</p>
*
* @param queryWrapper 實體物件封裝操作類(可以為 null)
*/
@Override
@UserDataPermission
List<Object> selectObjs(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
/**
* 根據 entity 條件,查詢全部記錄(並翻頁)
*
* @param page 分頁查詢條件(可以為 RowBounds.DEFAULT)
* @param queryWrapper 實體物件封裝操作類(可以為 null)
*/
@Override
@UserDataPermission
<E extends IPage<T>> E selectPage(E page, @Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
/**
* 根據 Wrapper 條件,查詢全部記錄(並翻頁)
*
* @param page 分頁查詢條件
* @param queryWrapper 實體物件封裝操作類
*/
@Override
@UserDataPermission
<E extends IPage<Map<String, Object>>> E selectMapsPage(E page, @Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
}
解決角色控制查詢範圍
引入角色,我們先假設有三種角色,按照常規的業務需求,一種是管理員檢視全部、一種是部門管理檢視本部門、一種是僅檢視自己。
有了以上假設,就可以設定列舉類編寫業務邏輯, 對是業務邏輯,所以我們只需要更改」攔截器處理器類「
建立範圍列舉
建立角色列舉以及範圍關聯關系
重寫攔截器處理方法
範圍列舉
@AllArgsConstructor
@Getter
publicenum DataScope {
// Scope 數據許可權範圍 : ALL(全部)、DEPT(部門)、MYSELF(自己)
ALL("ALL"),
DEPT("DEPT"),
MYSELF("MYSELF");
privateString name;
}
角色列舉
@AllArgsConstructor
@Getter
publicenum DataPermission {
// 列舉型別根據範圍從前往後排列,避免影響getScope
// Scope 數據許可權範圍 : ALL(全部)、DEPT(部門)、MYSELF(自己)
DATA_MANAGER("數據管理員", "DATA_MANAGER",DataScope.ALL),
DATA_AUDITOR("數據稽核員", "DATA_AUDITOR",DataScope.DEPT),
DATA_OPERATOR("數據業務員", "DATA_OPERATOR",DataScope.MYSELF);
privateString name;
privateString code;
private DataScope scope;
publicstaticString getName(String code) {
for (DataPermission type : DataPermission.values()) {
if (type.getCode().equals(code)) {
returntype.getName();
}
}
returnnull;
}
publicstaticString getCode(String name) {
for (DataPermission type : DataPermission.values()) {
if (type.getName().equals(name)) {
returntype.getCode();
}
}
returnnull;
}
publicstatic DataScope getScope(Collection<String> code) {
for (DataPermission type : DataPermission.values()) {
for (String v : code) {
if (type.getCode().equals(v)) {
returntype.getScope();
}
}
}
return DataScope.MYSELF;
}
}
重寫攔截器處理類 MyDataPermissionHandler
import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;
import net.sf.jsqlparser.expression.Alias;
import net.sf.jsqlparser.expression.Expression;
import net.sf.jsqlparser.expression.HexValue;
import net.sf.jsqlparser.expression.StringValue;
import net.sf.jsqlparser.expression.operators.conditional.AndExpression;
import net.sf.jsqlparser.expression.operators.relational.EqualsTo;
import net.sf.jsqlparser.expression.operators.relational.ExpressionList;
import net.sf.jsqlparser.expression.operators.relational.InExpression;
import net.sf.jsqlparser.expression.operators.relational.ItemsList;
import net.sf.jsqlparser.schema.Column;
import net.sf.jsqlparser.schema.Table;
import net.sf.jsqlparser.statement.select.PlainSelect;
import java.lang.reflect.Method;
import java.util.List;
import java.util.Objects;
import java.util.Set;
import java.util.stream.Collectors;
@Slf4j
public classMyDataPermissionHandler{
privateRemoteRoleService remoteRoleService;
privateRemoteUserService remoteUserService;
/**
* 獲取數據許可權 SQL 片段
*
* @param plainSelect 查詢物件
* @param whereSegment 查詢條件片段
* @return JSqlParser 條件運算式
*/
@SneakyThrows(Exception. class)
publicExpression getSqlSegment(PlainSelect plainSelect, String whereSegment) {
remoteRoleService = SpringUtil.getBean(RemoteRoleService. class);
remoteUserService = SpringUtil.getBean(RemoteUserService. class);
// 待執行 SQL Where 條件運算式
Expressionwhere = plainSelect.getWhere();
if (where == null) {
where = new HexValue(" 1 = 1 ");
}
log.info("開始進行許可權過濾,where: {},mappedStatementId: {}", where, whereSegment);
//獲取mapper名稱
String className = whereSegment.substring(0, whereSegment.lastIndexOf("."));
//獲取方法名
String methodName = whereSegment.substring(whereSegment.lastIndexOf(".") + 1);
Table fromItem = (Table) plainSelect.getFromItem();
// 有別名用別名,無別名用表名,防止欄位沖突報錯
Alias fromItemAlias = fromItem.getAlias();
String mainTableName = fromItemAlias == null ? fromItem.getName() : fromItemAlias.getName();
//獲取當前mapper 的方法
Method[] methods = class.forName( className).getMethods();
//遍歷判斷mapper 的所以方法,判斷方法上是否有 UserDataPermission
for (Method m : methods) {
if (Objects.equals(m.getName(), methodName)) {
UserDataPermission annotation = m.getAnnotation(UserDataPermission. class);
if (annotation == null) {
returnwhere;
}
// 1、當前使用者Code
User user = SecurityUtils.getUser();
// 2、當前角色即角色或角色型別(可能多種角色)
Set<String> roleTypeSet = remoteRoleService.currentUserRoleType();
DataScope scopeType = DataPermission.getScope(roleTypeSet);
switch (scopeType) {
// 檢視全部
caseALL:
returnwhere;
caseDEPT:
// 檢視本部門使用者數據
// 建立IN 運算式
// 建立IN範圍的元素集合
List<String> deptUserList = remoteUserService.listUserCodesByDeptCodes(user.getDeptCode());
// 把集合轉變為JSQLParser需要的元素列表
ItemsList deptList = new ExpressionList(deptUserList.stream().map(StringValue::new).collect(Collectors.toList()));
InExpression inExpressiondept = new InExpression(new Column(mainTableName + ".creator_code"), deptList);
return new AndExpression(where, inExpressiondept);
caseMYSELF:
// 檢視自己的數據
// = 運算式
EqualsTo usesEqualsTo = new EqualsTo();
usesEqualsTo.setLeftExpression(new Column(mainTableName + ".creator_code"));
usesEqualsTo.setRightExpression(new StringValue(user.getUserCode()));
return new AndExpression(where, usesEqualsTo);
default:
break;
}
}
}
//說明無權檢視,
where = new HexValue(" 1 = 2 ");
returnwhere;
}
}
以上就是全篇知識點, 需要註意的點可能有:
記得把攔截器加到MyBatis-Plus的外掛程式中,確保生效
要有一個業務賽選標識欄位, 這裏用的建立人 creator_code, 也可以用dept_code 等等
熱門推薦