巧用 MyBatis Plus 实现数据权限控制...

科技 2024-11-08 07:24 浙江

👇推荐大家关注一个公众号👇

点击上方 "编程技术圈"关注, 星标或置顶一起成长

后台回复“大礼包”有惊喜礼包！

每日英文

What is adhere to? Is day, and one day, you tell yourself, insist again one day.

什么是坚持？就是一天，又一天，你告诉自己，再坚持一天。

每日掏心话

不要沉迷过去，不要害怕未来，过去。得失也好，成败也罢，无论快乐，还是痛苦，都过去了，你只能回忆，而无法回去。

责编：乐乐 | 来源：网络

编程技术圈(ID:study_tech)第 3027 期推文

往日回顾：为什么牛逼的程序员都不用 “ ! = null " 做判空？

正文

大家好，我是小乐。

平时开发中遇到根据当前用户的角色，只能查看数据权限范围的数据需求。列表实现方案有两种，一是在开发初期就做好判断筛选，但如果这个需求是中途加的，或不希望每个接口都加一遍，就可以方案二加拦截器的方式。在mybatis执行sql前修改语句，限定where范围。

当然拦截器生效后是全局性的，如何保证只对需要的接口进行拦截和转化，就可以应用注解进行识别

因此具体需要哪些步骤就明确了

创建注解类
创建拦截器实现InnerInterceptor接口，重写查询方法
创建处理类，获取数据权限 SQL 片段，设置where
将拦截器加到MyBatis-Plus插件中

上代码（基础版）

自定义注解

@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface UserDataPermission {}

拦截器

@Data@NoArgsConstructor@AllArgsConstructor@ToString(callSuper = true)@EqualsAndHashCode(callSuper = true)public class MyDataPermissionInterceptor extends JsqlParserSupport implements InnerInterceptor {
    /**     * 数据权限处理器     */    private MyDataPermissionHandler dataPermissionHandler;
    @Override    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {        if (InterceptorIgnoreHelper.willIgnoreDataPermission(ms.getId())) {            return;        }        PluginUtils.MPBoundSql mpBs = PluginUtils.mpBoundSql(boundSql);        mpBs.sql(this.parserSingle(mpBs.sql(), ms.getId()));    }
    @Override    protected void processSelect(Select select, int index, String sql, Object obj) {        SelectBody selectBody = select.getSelectBody();        if (selectBody instanceof PlainSelect) {            this.setWhere((PlainSelect) selectBody, (String) obj);        } else if (selectBody instanceof SetOperationList) {            SetOperationList setOperationList = (SetOperationList) selectBody;            List<SelectBody> selectBodyList = setOperationList.getSelects();            selectBodyList.forEach(s -> this.setWhere((PlainSelect) s, (String) obj));        }    }
    /**     * 设置 where 条件     *     * @param plainSelect  查询对象     * @param whereSegment 查询条件片段     */    private void setWhere(PlainSelect plainSelect, String whereSegment) {
        Expression sqlSegment = this.dataPermissionHandler.getSqlSegment(plainSelect, whereSegment);        if (null != sqlSegment) {            plainSelect.setWhere(sqlSegment);        }    }}

拦截器处理器

基础只涉及 = 表达式，要查询集合范围 in 看进阶版用例

@Slf4jpublic class MyDataPermissionHandler {
    /**     * 获取数据权限 SQL 片段     *     * @param plainSelect  查询对象     * @param whereSegment 查询条件片段     * @return JSqlParser 条件表达式     */    @SneakyThrows(Exception.class)    public Expression getSqlSegment(PlainSelect plainSelect, String whereSegment) {        // 待执行 SQL Where 条件表达式        Expression where = plainSelect.getWhere();        if (where == null) {            where = new HexValue(" 1 = 1 ");        }        log.info("开始进行权限过滤,where: {},mappedStatementId: {}", where, whereSegment);        //获取mapper名称        String className = whereSegment.substring(0, whereSegment.lastIndexOf("."));        //获取方法名        String methodName = whereSegment.substring(whereSegment.lastIndexOf(".") + 1);        Table fromItem = (Table) plainSelect.getFromItem();        // 有别名用别名，无别名用表名，防止字段冲突报错        Alias fromItemAlias = fromItem.getAlias();        String mainTableName = fromItemAlias == null ? fromItem.getName() : fromItemAlias.getName();        //获取当前mapper 的方法        Method[] methods = Class.forName(className).getMethods();        //遍历判断mapper 的所以方法，判断方法上是否有 UserDataPermission        for (Method m : methods) {            if (Objects.equals(m.getName(), methodName)) {                UserDataPermission annotation = m.getAnnotation(UserDataPermission.class);                if (annotation == null) {                    return where;                }                // 1、当前用户Code             User user = SecurityUtils.getUser();                // 查看自己的数据                 //  = 表达式                 EqualsTo usesEqualsTo = new EqualsTo();                 usesEqualsTo.setLeftExpression(new Column(mainTableName + ".creator_code"));                 usesEqualsTo.setRightExpression(new StringValue(user.getUserCode()));                 return new AndExpression(where, usesEqualsTo);            }        }        //说明无权查看，        where = new HexValue(" 1 = 2 ");        return where;    }
}

将拦截器加到MyBatis-Plus插件中

如果你之前项目配插件，直接用下面方式就行

@Beanpublic MybatisPlusInterceptor mybatisPlusInterceptor() {    MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();    // 添加数据权限插件    MyDataPermissionInterceptor dataPermissionInterceptor = new MyDataPermissionInterceptor();    // 添加自定义的数据权限处理器    dataPermissionInterceptor.setDataPermissionHandler(new MyDataPermissionHandler());    interceptor.addInnerInterceptor(dataPermissionInterceptor);    interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));    return interceptor;}

但如果你项目之前是依赖包依赖，或有公司内部统一拦截设置好，也可以往MybatisPlusInterceptor进行插入，避免影响原有项目配置

@Beanpublic MyDataPermissionInterceptor myInterceptor(MybatisPlusInterceptor mybatisPlusInterceptor) {    MyDataPermissionInterceptor sql = new MyDataPermissionInterceptor();    sql.setDataPermissionHandler(new MyDataPermissionHandler());    List<InnerInterceptor> list = new ArrayList<>();    // 添加数据权限插件    list.add(sql);    // 分页插件    mybatisPlusInterceptor.setInterceptors(list);    list.add(new PaginationInnerInterceptor(DbType.MYSQL));    return sql;}

以上就是简单版的是拦截器修改语句使用

使用方式

在mapper层添加注解即可

@UserDataPermissionList<CustomerAllVO> selectAllCustomerPage(IPage<CustomerAllVO> page, @Param("customerName")String customerName);

进阶版

基础班只是能用，业务功能没有特别约束，先保证能跑起来

进阶版解决两个问题：

加了角色，用角色决定范围
解决不是mapper层自定义sql查询问题。

两个是完全独立的问题，可根据情况分开解决

解决不是mapper层自定义sql查询问题。

例如我们名称简单的sql语句直接在Service层用mybatisPluse自带的方法

xxxxService.list(Wrapper<T> queryWrapper)xxxxService.page(new Page<>(),Wrapper<T> queryWrapper)

以上这种我应该把注解加哪里呢

因为service层，本质上还是调mapper层，所以还是在mapper层做文章，原来的mapper实现了extends BaseMapper 接口，所以能够查询，我们要做的就是在 mapper层中间套一个中间接口，来方便我们加注解

xxxxxMapper ——》DataPermissionMapper（中间） ——》BaseMapper

根据自身需要，在重写的接口方法上加注解即可，这样就影响原先的代码

public interface DataPermissionMapper<T> extends BaseMapper<T> {
    /**     * 根据 ID 查询     *     * @param id 主键ID     */    @Override    @UserDataPermission    T selectById(Serializable id);
    /**     * 查询（根据ID 批量查询）     *     * @param idList 主键ID列表(不能为 null 以及 empty)     */    @Override    @UserDataPermission    List<T> selectBatchIds(@Param(Constants.COLLECTION) Collection<? extends Serializable> idList);
    /**     * 查询（根据 columnMap 条件）     *     * @param columnMap 表字段 map 对象     */    @Override    @UserDataPermission    List<T> selectByMap(@Param(Constants.COLUMN_MAP) Map<String, Object> columnMap);
    /**     * 根据 entity 条件，查询一条记录     *     * @param queryWrapper 实体对象封装操作类（可以为 null）     */    @Override    @UserDataPermission    T selectOne(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
    /**     * 根据 Wrapper 条件，查询总记录数     *     * @param queryWrapper 实体对象封装操作类（可以为 null）     */    @Override    @UserDataPermission    Integer selectCount(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
    /**     * 根据 entity 条件，查询全部记录     *     * @param queryWrapper 实体对象封装操作类（可以为 null）     */    @Override    @UserDataPermission    List<T> selectList(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
    /**     * 根据 Wrapper 条件，查询全部记录     *     * @param queryWrapper 实体对象封装操作类（可以为 null）     */    @Override    @UserDataPermission    List<Map<String, Object>> selectMaps(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
    /**     * 根据 Wrapper 条件，查询全部记录     * <p>注意：只返回第一个字段的值</p>     *     * @param queryWrapper 实体对象封装操作类（可以为 null）     */    @Override    @UserDataPermission    List<Object> selectObjs(@Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
    /**     * 根据 entity 条件，查询全部记录（并翻页）     *     * @param page         分页查询条件（可以为 RowBounds.DEFAULT）     * @param queryWrapper 实体对象封装操作类（可以为 null）     */    @Override    @UserDataPermission    <E extends IPage<T>> E selectPage(E page, @Param(Constants.WRAPPER) Wrapper<T> queryWrapper);
    /**     * 根据 Wrapper 条件，查询全部记录（并翻页）     *     * @param page         分页查询条件     * @param queryWrapper 实体对象封装操作类     */    @Override    @UserDataPermission    <E extends IPage<Map<String, Object>>> E selectMapsPage(E page, @Param(Constants.WRAPPER) Wrapper<T> queryWrapper);}

解决角色控制查询范围

引入角色，我们先假设有三种角色，按照常规的业务需求，一种是管理员查看全部、一种是部门管理查看本部门、一种是仅查看自己。

有了以上假设，就可以设置枚举类编写业务逻辑，对是业务逻辑，所以我们只需要更改”拦截器处理器类“

建立范围枚举
建立角色枚举以及范围关联关系
重写拦截器处理方法

范围枚举

@AllArgsConstructor@Getterpublic enum DataScope {    // Scope 数据权限范围 ：ALL（全部）、DEPT（部门）、MYSELF（自己）    ALL("ALL"),    DEPT("DEPT"),    MYSELF("MYSELF");    private String name;}

角色枚举

@AllArgsConstructor@Getterpublic enum DataPermission {
    // 枚举类型根据范围从前往后排列，避免影响getScope    // Scope 数据权限范围 ：ALL（全部）、DEPT（部门）、MYSELF（自己）    DATA_MANAGER("数据管理员", "DATA_MANAGER",DataScope.ALL),    DATA_AUDITOR("数据审核员", "DATA_AUDITOR",DataScope.DEPT),    DATA_OPERATOR("数据业务员", "DATA_OPERATOR",DataScope.MYSELF);
    private String name;    private String code;    private DataScope scope;

    public static String getName(String code) {        for (DataPermission type : DataPermission.values()) {            if (type.getCode().equals(code)) {                return type.getName();            }        }        return null;    }
    public static String getCode(String name) {        for (DataPermission type : DataPermission.values()) {            if (type.getName().equals(name)) {                return type.getCode();            }        }        return null;    }
    public static DataScope getScope(Collection<String> code) {        for (DataPermission type : DataPermission.values()) {            for (String v : code) {                if (type.getCode().equals(v)) {                    return type.getScope();                }            }        }        return DataScope.MYSELF;    }}

重写拦截器处理类 MyDataPermissionHandler

@Slf4jpublic class MyDataPermissionHandler {
    private RemoteRoleService remoteRoleService;    private RemoteUserService remoteUserService;

    /**     * 获取数据权限 SQL 片段     *     * @param plainSelect  查询对象     * @param whereSegment 查询条件片段     * @return JSqlParser 条件表达式     */    @SneakyThrows(Exception.class)    public Expression getSqlSegment(PlainSelect plainSelect, String whereSegment) {        remoteRoleService = SpringUtil.getBean(RemoteRoleService.class);        remoteUserService = SpringUtil.getBean(RemoteUserService.class);
        // 待执行 SQL Where 条件表达式        Expression where = plainSelect.getWhere();        if (where == null) {            where = new HexValue(" 1 = 1 ");        }        log.info("开始进行权限过滤,where: {},mappedStatementId: {}", where, whereSegment);        //获取mapper名称        String className = whereSegment.substring(0, whereSegment.lastIndexOf("."));        //获取方法名        String methodName = whereSegment.substring(whereSegment.lastIndexOf(".") + 1);        Table fromItem = (Table) plainSelect.getFromItem();        // 有别名用别名，无别名用表名，防止字段冲突报错        Alias fromItemAlias = fromItem.getAlias();        String mainTableName = fromItemAlias == null ? fromItem.getName() : fromItemAlias.getName();        //获取当前mapper 的方法        Method[] methods = Class.forName(className).getMethods();        //遍历判断mapper 的所以方法，判断方法上是否有 UserDataPermission        for (Method m : methods) {            if (Objects.equals(m.getName(), methodName)) {                UserDataPermission annotation = m.getAnnotation(UserDataPermission.class);                if (annotation == null) {                    return where;                }                // 1、当前用户Code                User user = SecurityUtils.getUser();                // 2、当前角色即角色或角色类型（可能多种角色）                Set<String> roleTypeSet = remoteRoleService.currentUserRoleType();                                DataScope scopeType = DataPermission.getScope(roleTypeSet);                switch (scopeType) {                    // 查看全部                    case ALL:                        return where;                    case DEPT:                        // 查看本部门用户数据                        // 创建IN 表达式                        // 创建IN范围的元素集合                        List<String> deptUserList = remoteUserService.listUserCodesByDeptCodes(user.getDeptCode());                        // 把集合转变为JSQLParser需要的元素列表                        ItemsList deptList = new ExpressionList(deptUserList.stream().map(StringValue::new).collect(Collectors.toList()));                        InExpression inExpressiondept = new InExpression(new Column(mainTableName + ".creator_code"), deptList);                        return new AndExpression(where, inExpressiondept);                    case MYSELF:                        // 查看自己的数据                        //  = 表达式                        EqualsTo usesEqualsTo = new EqualsTo();                        usesEqualsTo.setLeftExpression(new Column(mainTableName + ".creator_code"));                        usesEqualsTo.setRightExpression(new StringValue(user.getUserCode()));                        return new AndExpression(where, usesEqualsTo);                    default:                        break;                }            }
        }        //说明无权查看，        where = new HexValue(" 1 = 2 ");        return where;    }}

以上就是全篇知识点，需要注意的点可能有：

记得把拦截器加到MyBatis-Plus的插件中，确保生效
要有一个业务赛选标识字段，这里用的创建人 creator_code, 也可以用dept_code 等等

你还有什么想要补充的吗？

上周，又劝退十几个了。。。

ChatGPT 4o 国内直接用！！！

最后给大家推荐一个ChatGPT 4.0国内网站，是我们团队一直在使用的，我们对接是OpenAI官网的账号，给大家打造了一个一模一样ChatGPT，很多粉丝朋友现在也都通过我拿这种号，价格不贵，关键还有售后。

一句话说明：用官方一半价格的钱，一句话说明:用跟官方 ChatGPT4.0 一模一样功能，无需魔法，无视封号，不必担心次数不够。

最大优势：可实现会话隔离！突破限制：官方限制每个账号三小时可使用40次4.0本网站可实现次数上限之后，手动切换下一个未使用的账号【相当于一个4.0帐号，同享受一百个账号轮换使用权限】

为了跟上AI时代我干了一件事儿，我创建了一个知识星球社群：ChartGPT与副业。想带着大家一起探索ChatGPT和新的AI时代。

有很多小伙伴搞不定ChatGPT账号，于是我们决定，凡是这三天之内加入ChatPGT的小伙伴，我们直接送一个正常可用的永久ChatGPT独立账户。

不光是增长速度最快，我们的星球品质也绝对经得起考验，短短一个月时间，我们的课程团队发布了8个专栏、18个副业项目：

简单说下这个星球能给大家提供什么：

1、不断分享如何使用ChatGPT来完成各种任务，让你更高效地使用ChatGPT，以及副业思考、变现思路、创业案例、落地案例分享。

2、分享ChatGPT的使用方法、最新资讯、商业价值。

3、探讨未来关于ChatGPT的机遇，共同成长。

4、帮助大家解决ChatGPT遇到的问题。

5、提供一整年的售后服务，一起搞副业

星球福利：

1、加入星球4天后，就送ChatGPT独立账号。

2、邀请你加入ChatGPT会员交流群。

3、赠送一份完整的ChatGPT手册和66个ChatGPT副业赚钱手册。

其它福利还在筹划中... 不过，我给你大家保证，加入星球后，收获的价值会远远大于今天加入的门票费用！

本星球第一期原价399，目前属于试运营，早鸟价149，每超过50人涨价10元，星球马上要来一波大的涨价，如果你还在犹豫，可能最后就要以更高价格加入了。。

早就是优势。建议大家尽早以便宜的价格加入！

PS：欢迎在留言区留下你的观点，一起讨论提高。如果今天的文章让你有新的启发，欢迎转发分享给更多人。
版权申明：内容来源网络，版权归原创者所有。除非无法确认，我们都会标明作者及出处，如有侵权烦请告知，我们会立即删除并表示歉意。谢谢!
欢迎加入后端架构师交流群，在后台回复“学习”即可。

最近面试BAT，整理一份面试资料《Java面试BAT通关手册》，覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。在这里，我为大家准备了一份2021年最新最全BAT等大厂Java面试经验总结。
别找了，想获取史上最简单的Java大厂面试题学习资料
扫下方二维码回复「面试」就好了
猜你还想看
阿里、腾讯、百度、华为、京东最新面试题汇集
看看人家那权限管理系统，那叫一个优雅（附源码）！
牛逼啊！接私活必备的 400 多个开源项目！赶快收藏吧（附源码合集）！
用雪花 id 和 uuid 做 MySQL 主键，被领导怼了
项目从 MySQL 切换 PostgreSQL，踩了太多的坑！！！
嘿，你在看吗？

http://mp.weixin.qq.com/s?__biz=MzI5ODI5NDkxMw==&mid=2247679354&idx=6&sn=a0b76eff16670baa0787f80d8530a580

编程技术圈

(本号原名：程序员小乐) 这里有Java、架构、Python、技术、算法、职场、感悟、面经、资源等，一线大厂干货，10万 + 程序员都在看，做一个有趣的帮助程序员成长的架构师公众号，每天早上07点24，第一时间与你相约。

巧用 MyBatis Plus 实现数据权限控制...

大家好，我是小乐。

上代码（基础版）

自定义注解@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface UserDataPermission {}

拦截器处理器

使用方式

进阶版

解决角色控制查询范围

最近面试BAT，整理一份面试资料《Java面试BAT通关手册》，覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。在这里，我为大家准备了一份2021年最新最全BAT等大厂Java面试经验总结。

自定义注解
`@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface UserDataPermission {}`