mybatis plus数据权限,mybatis plus interceptor
目录
前言一、源码分析二、使用案例尝试验证@InterceptorIgnore注解实践应用总结
前言
数据权限因分页问题,不可能通过代码对数据进行过滤处理,只能在数据库语句进行处理,而如果每个查询都进行特殊处理的话,是个巨大的工作量,在网上找到了框架的一种解决方案。
一、源码分析
继承抽象类JsqlParserSupport并重写流程选择方法JSqlParser是一个结构化查询语言语句解析器,它将结构化查询语言转换为爪哇类的可遍历层次结构100%以上。中也引入了JSqlParser包,流程选择可以对挑选语句进行处理。实现内部拦截器接口并重写查询前方法内部拦截器是加的插件接口,查询前可以对查询语句执行前进行处理DataPermissionHandler作为数据权限处理器,是一个接口,提供getSqlSegment方法添加数据权限结构化查询语言片段。由上可知,我们只需要实现DataPermissionHandler接口,并按照业务规则处理SQL,就可以实现数据权限的功能数据许可拦截器为我的巴蒂斯3。4 .注射毒品版本以上才有的功能包com。窦米宝。mybatisplus。扩展。插件。内心;导入com。窦米宝。mybatisplus。核心。插件。interceptorignorehelper导入com。窦米宝。mybatisplus。核心。工具包。pluginutils导入com。窦米宝。mybatisplus。扩展。解析器。jsql解析器支持;导入com。窦米宝。mybatisplus。扩展。插件。处理程序。数据权限处理程序;进口龙目岛。*;导入网。SF。jsql解析器。表情。表情;进口网。SF。jsql解析器。声明。选择。普通选择;导入网。SF。jsql解析器。声明。选择。选择;进口网。SF。jsql解析器。声明。选择。选择正文;进口网。SF。jsql解析器。声明。选择。setoperationlist导入org。阿帕奇。伊巴提斯。执行人。遗嘱执行人;导入org。阿帕奇。伊巴提斯。映射。boundsql导入org。阿帕奇。伊巴提斯。映射。映射语句;导入org。阿帕奇。伊巴提斯。会话。结果处理器;导入org。阿帕奇。伊巴提斯。会话。行边界;导入Java。SQL。SQL异常;导入Java。util。列表;/** * 数据权限处理器* * @作者胡斌* @自3 .4 .1 */@ Data @ NoArgsConstructor @ AllArgsConstructor @ ToString(call super=true)@ EqualsAndHashCode(call super=true)@ suppress warnings({ raw types })公共类数据许可拦截器扩展JsqlParserSupport实现内部侦听器{私有数据权限处理程序数据权限处理程序;@在查询前覆盖公共void(Executor Executor,MappedStatement ms,Object parameter,RowBounds rowBounds,ResultHandler resultHandler,BoundSql boundSql)抛出SQLException { if(interceptorignorehelper。wilignoredataperture(ms . getid()))返回;PluginUtils .MPBoundSql mpBs=pluginutils。MPBoundSql(boundSql);准同型相界
s.sql(parserSingle(mpBs.sql(), ms.getId())); } @Override protected void processSelect(Select select, int index, String sql, Object obj) { SelectBody selectBody = select.getSelectBody(); if (selectBody instanceof PlainSelect) { this.setWhere((PlainSelect) selectBody, (String) obj); } else if (selectBody instanceof SetOperationList) { SetOperationList setOperationList = (SetOperationList) selectBody; List<SelectBody> selectBodyList = setOperationList.getSelects(); selectBodyList.forEach(s -> this.setWhere((PlainSelect) s, (String) obj)); } } /** * 设置 where 条件 * * @param plainSelect 查询对象 * @param whereSegment 查询条件片段 */ protected void setWhere(PlainSelect plainSelect, String whereSegment) { Expression sqlSegment = dataPermissionHandler.getSqlSegment(plainSelect.getWhere(), whereSegment); if (null != sqlSegment) { plainSelect.setWhere(sqlSegment); } }}
二、使用案例
mybatis-plus在gitee的仓库中,有人询问了如何使用DataPermissionInterceptor,下面有人给出了例子,一共分为两步,一是实现dataPermissionHandler接口,二是将实现添加到mybstis-plus的处理器中。他的例子中是根据不同权限类型拼接sql。
通用的方案是在所有的表中增加权限相关的字段,如部门、门店、租户等。实现dataPermissionHandler接口时较方便,可直接添加这几个字段的条件,无需查询数据库。
/** * 自定义数据权限 * * @Author PXL * @Version 1.0 * @Date 2021-02-07 16:52 */public class DataPermissionHandlerImpl implements DataPermissionHandler { @Override public Expression getSqlSegment(Expression where, String mappedStatementId) { try { Class<?> clazz = Class.forName(mappedStatementId.substring(0, mappedStatementId.lastIndexOf("."))); String methodName = mappedStatementId.substring(mappedStatementId.lastIndexOf(".") + 1); Method[] methods = clazz.getDeclaredMethods(); for (Method method : methods) { DataPermission annotation = method.getAnnotation(DataPermission.class); if (ObjectUtils.isNotEmpty(annotation) && (method.getName().equals(methodName) (method.getName() + "_COUNT").equals(methodName))) { // 获取当前的用户 LoginUser loginUser = SpringUtils.getBean(TokenService.class).getLoginUser(ServletUtils.getRequest()); if (ObjectUtils.isNotEmpty(loginUser) && ObjectUtils.isNotEmpty(loginUser.getUser()) && !loginUser.getUser().isAdmin()) { return dataScopeFilter(loginUser.getUser(), annotation.value(), where); } } } } catch (ClassNotFoundException e) { e.printStackTrace(); } return where; } /** * 构建过滤条件 * * @param user 当前登录用户 * @param where 当前查询条件 * @return 构建后查询条件 */ public static Expression dataScopeFilter(SysUser user, String tableAlias, Expression where) { Expression expression = null; for (SysRole role : user.getRoles()) { String dataScope = role.getDataScope(); if (DataScopeAspect.DATA_SCOPE_ALL.equals(dataScope)) { return where; } if (DataScopeAspect.DATA_SCOPE_CUSTOM.equals(dataScope)) { InExpression inExpression = new InExpression(); inExpression.setLeftExpression(buildColumn(tableAlias, "dept_id")); SubSelect subSelect = new SubSelect(); PlainSelect select = new PlainSelect(); select.setSelectItems(Collections.singletonList(new SelectExpressionItem(new Column("dept_id")))); select.setFromItem(new Table("sys_role_dept")); EqualsTo equalsTo = new EqualsTo(); equalsTo.setLeftExpression(new Column("role_id")); equalsTo.setRightExpression(new LongValue(role.getRoleId())); select.setWhere(equalsTo); subSelect.setSelectBody(select); inExpression.setRightExpression(subSelect); expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, inExpression) : inExpression; } if (DataScopeAspect.DATA_SCOPE_DEPT.equals(dataScope)) { EqualsTo equalsTo = new EqualsTo(); equalsTo.setLeftExpression(buildColumn(tableAlias, "dept_id")); equalsTo.setRightExpression(new LongValue(user.getDeptId())); expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, equalsTo) : equalsTo; } if (DataScopeAspect.DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope)) { InExpression inExpression = new InExpression(); inExpression.setLeftExpression(buildColumn(tableAlias, "dept_id")); SubSelect subSelect = new SubSelect(); PlainSelect select = new PlainSelect(); select.setSelectItems(Collections.singletonList(new SelectExpressionItem(new Column("dept_id")))); select.setFromItem(new Table("sys_dept")); EqualsTo equalsTo = new EqualsTo(); equalsTo.setLeftExpression(new Column("dept_id")); equalsTo.setRightExpression(new LongValue(user.getDeptId())); Function function = new Function(); function.setName("find_in_set"); function.setParameters(new ExpressionList(new LongValue(user.getDeptId()) , new Column("ancestors"))); select.setWhere(new OrExpression(equalsTo, function)); subSelect.setSelectBody(select); inExpression.setRightExpression(subSelect); expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, inExpression) : inExpression; } if (DataScopeAspect.DATA_SCOPE_SELF.equals(dataScope)) { EqualsTo equalsTo = new EqualsTo(); equalsTo.setLeftExpression(buildColumn(tableAlias, "create_by")); equalsTo.setRightExpression(new StringValue(user.getUserName())); expression = ObjectUtils.isNotEmpty(expression) ? new OrExpression(expression, equalsTo) : equalsTo; } } return ObjectUtils.isNotEmpty(where) ? new AndExpression(where, new Parenthesis(expression)) : expression; } /** * 构建Column * * @param tableAlias 表别名 * @param columnName 字段名称 * @return 带表别名字段 */ public static Column buildColumn(String tableAlias, String columnName) { if (StringUtils.isNotEmpty(tableAlias)) { columnName = tableAlias + "." + columnName; } return new Column(columnName); }}
// 自定义数据权限interceptor.addInnerInterceptor(new DataPermissionInterceptor(new DataPermissionHandlerImpl()));
尝试验证
DataPermissionHandler 接口
可以看到DataPermissionHandler 接口使用中,传递来的参数是什么。
参数含义where为当前sql已有的where条件mappedStatementId为mapper中定义的方法的路径
@InterceptorIgnore注解
拦截忽略注解 @InterceptorIgnore
属性名类型默认值描述tenantLineString行级租户dynamicTableNameString动态表名blockAttackString攻击 SQL 阻断解析器,防止全表更新与删除illegalSqlString垃圾SQL拦截
实践应用
在维修小程序中,我使用了此方案。如下是我的代码:
/** * @ClassName MyDataPermissionHandler * @Description 自定义数据权限处理 * @Author FangCheng * @Date 2022/4/2 14:54 **/@Componentpublic class MyDataPermissionHandler implements DataPermissionHandler { @Autowired @Lazy private UserRepository userRepository; @Override public Expression getSqlSegment(Expression where, String mappedStatementId) { try { Class<?> clazz = Class.forName(mappedStatementId.substring(0, mappedStatementId.lastIndexOf("."))); String methodName = mappedStatementId.substring(mappedStatementId.lastIndexOf(".") + 1); Method[] methods = clazz.getDeclaredMethods(); for (Method method : methods) { if (!methodName.equals(method.getName())) { continue; } // 获取自定义注解,无此注解则不控制数据权限 CustomDataPermission annotation = method.getAnnotation(CustomDataPermission.class); if (annotation == null) { continue; } // 自定义的用户上下文,获取到用户的id ContextUserDetails contextUserDetails = UserDetailsContextHolder.getContextUserDetails(); String userId = contextUserDetails.getId(); User user = userRepository.selectUserById(userId); // 如果是特权用户,不控制数据权限 if (Constants.ADMIN_RULE == user.getAdminuser()) { return where; } // 员工用户 if (UserTypeEnum.USER_TYPE_EMPLOYEE.getCode().equals(user.getUsertype())) { // 员工用户的权限字段 String field = annotation.field().getValue(); // 单据类型 String billType = annotation.billType().getFuncno(); // 操作类型 OperationTypeEnum operationType = annotation.operation(); // 权限字段为空则为不控制数据权限 if (StringUtils.isNotEmpty(field)) { List<DataPermission> dataPermissions = userRepository.selectUserFuncnoDataPermission(userId, billType); if (dataPermissions.size() == 0) { // 没数据权限,但有功能权限则取所有数据 return where; } // 构建in表达式 InExpression inExpression = new InExpression(); inExpression.setLeftExpression(new Column(field)); List<Expression> conditions = null; switch(operationType) { case SELECT: conditions = dataPermissions.stream().map(res -> new StringValue(res.getStkid())).collect(Collectors.toList()); break; case INSERT: conditions = dataPermissions.stream().filter(DataPermission::isAddright).map(res -> new StringValue(res.getStkid())).collect(Collectors.toList()); break; case UPDATE: conditions = dataPermissions.stream().filter(DataPermission::isModright).map(res -> new StringValue(res.getStkid())).collect(Collectors.toList()); break; case APPROVE: conditions = dataPermissions.stream().filter(DataPermission::isCheckright).map(res -> new StringValue(res.getStkid())).collect(Collectors.toList()); break; default: break; } if (conditions == null) { return where; } conditions.add(new StringValue(Constants.ALL_STORE)); ItemsList itemsList = new ExpressionList(conditions); inExpression.setRightItemsList(itemsList); if (where == null) { return inExpression; } return new AndExpression(where, inExpression); } else { return where; } } else { // 供应商用户的权限字段 String field = annotation.vendorfield().getValue(); if (StringUtils.isNotEmpty(field)) { // 供应商如果控制权限,则只能看到自己的单据。直接使用EqualsTo EqualsTo equalsTo = new EqualsTo(); equalsTo.setLeftExpression(new Column(field)); equalsTo.setRightExpression(new StringValue(userId)); if (where == null) { return equalsTo; } // 创建 AND 表达式 拼接Where 和 = 表达式 return new AndExpression(where, equalsTo); } else { return where; } } } } catch (ClassNotFoundException e) { e.printStackTrace(); } return where; }}
/** * @ClassName MybatisConfig * @Description mybatis配置 * @Author FangCheng * @Date 2022/4/2 15:32 **/@Configurationpublic class MybatisConfig { @Autowired private MyDataPermissionHandler myDataPermissionHandler; @Bean public MybatisPlusInterceptor mybatisPlusInterceptor() { MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor(); // 添加数据权限插件 DataPermissionInterceptor dataPermissionInterceptor = new DataPermissionInterceptor(); // 添加自定义的数据权限处理器 dataPermissionInterceptor.setDataPermissionHandler(myDataPermissionHandler); interceptor.addInnerInterceptor(dataPermissionInterceptor); // 分页插件 //interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.SQL_SERVER)); return interceptor; }}
因为维修小程序相当于一个外挂程序,他的权限控制延用了七八年前程序的方案,设计的较为复杂,也有现成获取数据的存储过程供我们使用,此处做了一些特殊处理。增加了自定义注解、dataPermissionHandler接口实现类查询了数据库调用存储过程获取权限信息等。
自定义注解
/** * @ClassName CustomDataPermission * @Description 自定义数据权限注解 * @Author FangCheng * @Date 2022/4/6 10:24 **/@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface CustomDataPermission { PermissionFieldEnum field(); PermissionFieldEnum vendorfield(); BillTypeEnum billType(); OperationTypeEnum operation();}
使用注解
/** * @ClassName ApplyHMapper * @Description 维修申请单主表 * @Author FangCheng * @Date 2022/4/6 13:06 **/@Mapperpublic interface ApplyHMapper extends BaseMapper<ApplyHPo> { /** * @Description: * @author FangCheng * @Date: 2022/4/1 15:26 * @methodName selectApplyHs */ @CustomDataPermission(field = PermissionFieldEnum.FIELD_STKID, vendorfield = PermissionFieldEnum.FIELD_EMPTY, billType = BillTypeEnum.APPLY_BILL, operation = OperationTypeEnum.SELECT) Page<ApplyHPo> selectApplyHs(IPage<ApplyHPo> page, @Param(Constants.WRAPPER) QueryWrapper<ApplyHPo> queryWrapper); /** * @Description: * @author FangCheng * @Date: 2022/4/1 15:26 * @methodName selectApplyHsForVendor */ Page<ApplyHPo> selectApplyHsForVendor(IPage<ApplyHPo> page, @Param("vendorid") String vendorid, @Param(Constants.WRAPPER) QueryWrapper<ApplyHPo> queryWrapper); /** * @Description: * @author FangCheng * @Date: 2022/4/1 15:26 * @methodName selectApplyH */ @CustomDataPermission(field = PermissionFieldEnum.FIELD_STKID, vendorfield = PermissionFieldEnum.FIELD_EMPTY, billType = BillTypeEnum.APPLY_BILL, operation = OperationTypeEnum.SELECT) ApplyHPo selectApplyH(@Param("billNo") String billNo); /** * @Description: * @author FangCheng * @Date: 2022/4/1 15:26 * @methodName selectApplyH */ @InterceptorIgnore ApplyHPo selectApplyHNoPermission(@Param("billNo") String billNo); /** * @Description: * @author FangCheng * @Date: 2022/4/1 15:26 * @methodName saveApplyH */ void saveApplyH(ApplyHPo applyHPo);}
最终的效果
2022-04-24 09:14:52.878 DEBUG 29254 --- [nio-8086-exec-2] c.y.w.i.p.m.ApplyHMapper.selectApplyHs : ==> select * from t_mt_apply_h WHERE stkid IN ('0025', 'all')
总结
以上就是今天要讲的内容,本文仅仅简单介绍了Mybatis-plus数据权限接口DataPermissionInterceptor的一种实现方式,没有过多的深入研究。
部分内容参考:Mybatis-Plus入门系列(3)- MybatisPlus之数据权限插件DataPermissionInterceptor@InterceptorIgnore
到此这篇关于Mybatis-plus数据权限DataPermissionInterceptor实现的文章就介绍到这了,更多相关Mybatis-plus DataPermissionInterceptor内容请搜索盛行IT以前的文章或继续浏览下面的相关文章希望大家以后多多支持盛行IT!
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。