Redian新闻
>
基于Mybatis拦截器实现数据范围权限

基于Mybatis拦截器实现数据范围权限

公众号新闻

点击上方“芋道源码”,选择“设为星标

管她前浪,还是后浪?

能浪的浪,才是好浪!

每天 10:33 更新文章,每天掉亿点点头发...

源码精品专栏

 
来源:juejin.cn/post/
7242596585330343992

前端的菜单和按钮权限都可以通过配置来实现,但很多时候,后台查询数据库数据的权限需要通过手动添加SQL来实现。

比如员工打卡记录表,有 id、name、dpt_id、company_id 等字段,后两个表示部门 ID 和分公司 ID。

查看员工打卡记录 SQL 为:select id,name,dpt_id,company_id from t_record

当一个总部账号可以查看全部数据此时,sql 无需改变。因为他可以看到全部数据。

当一个部门管理员权限员工查看全部数据时,sql 需要在末属添加 where dpt_id = #{dpt_id}

如果每个功能模块都需要手动写代码去拿到当前登陆用户的所属部门,然后手动添加where条件,就显得非常的繁琐。

因此,可以通过 mybatis 的拦截器拿到查询 sql 语句,再自动改写 sql。

mybatis 拦截器

MyBatis 允许你在映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括:

  • Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)
  • ParameterHandler (getParameterObject, setParameters)
  • ResultSetHandler (handleResultSets, handleOutputParameters)
  • StatementHandler (prepare, parameterize, batch, update, query)

这些类中方法的细节可以通过查看每个方法的签名来发现,或者直接查看 MyBatis 发行包中的源代码。如果你想做的不仅仅是监控方法的调用,那么你最好相当了解要重写的方法的行为。因为在试图修改或重写已有方法的行为时,很可能会破坏 MyBatis 的核心模块。这些都是更底层的类和方法,所以使用插件的时候要特别当心。

通过 MyBatis 提供的强大机制,使用插件是非常简单的,只需实现 Interceptor 接口,并指定想要拦截的方法签名即可。

分页插件 pagehelper 就是一个典型的通过拦截器去改写 SQL 的。

可以看到它通过注解 @Intercepts 和签名 @Signature 来实现,拦截 Executor 执行器,拦截所有的 query 查询类方法。

我们可以据此也实现自己的拦截器。

import com.skycomm.common.util.user.Cpip2UserDeptVo;
import com.skycomm.common.util.user.Cpip2UserDeptVoUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.apache.ibatis.cache.CacheKey;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.mapping.SqlSource;
import org.apache.ibatis.plugin.Interceptor;
import org.apache.ibatis.plugin.Intercepts;
import org.apache.ibatis.plugin.Invocation;
import org.apache.ibatis.plugin.Signature;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;

@Component
@Intercepts({
        @Signature(type = Executor.classmethod "query", args = {MappedStatement.classObject.classRowBounds.classResultHandler.class}),
        @Signature(type 
= Executor.classmethod "query", args = {MappedStatement.classObject.classRowBounds.classResultHandler.classCacheKey.classBoundSql.class}),
})
@Slf4j
public class MySqlInterceptor implements Interceptor 
{

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        MappedStatement statement = (MappedStatement) invocation.getArgs()[0];
        Object parameter = invocation.getArgs()[1];
        BoundSql boundSql = statement.getBoundSql(parameter);
        String originalSql = boundSql.getSql();
        Object parameterObject = boundSql.getParameterObject();

        SqlLimit sqlLimit = isLimit(statement);
        if (sqlLimit == null) {
            return invocation.proceed();
        }

        RequestAttributes req = RequestContextHolder.getRequestAttributes();
        if (req == null) {
            return invocation.proceed();
        }

        //处理request
        HttpServletRequest request = ((ServletRequestAttributes) req).getRequest();
        Cpip2UserDeptVo userVo = Cpip2UserDeptVoUtil.getUserDeptInfo(request);
        String depId = userVo.getDeptId();

        String sql = addTenantCondition(originalSql, depId, sqlLimit.alis());
        log.info("原SQL:{}, 数据权限替换后的SQL:{}", originalSql, sql);
        BoundSql newBoundSql = new BoundSql(statement.getConfiguration(), sql, boundSql.getParameterMappings(), parameterObject);
        MappedStatement newStatement = copyFromMappedStatement(statement, new BoundSqlSqlSource(newBoundSql));
        invocation.getArgs()[0] = newStatement;
        return invocation.proceed();
    }

    /**
     * 重新拼接SQL
     */

    private String addTenantCondition(String originalSql, String depId, String alias) {
        String field = "dpt_id";
        if(StringUtils.isNoneBlank(alias)){
            field = alias + "." + field;
        }

        StringBuilder sb = new StringBuilder(originalSql);
        int index = sb.indexOf("where");
        if (index < 0) {
            sb.append(" where ") .append(field).append(" = ").append(depId);
        } else {
            sb.insert(index + 5" " + field +" = " + depId + " and ");
        }
        return sb.toString();
    }

    private MappedStatement copyFromMappedStatement(MappedStatement ms, SqlSource newSqlSource) {
        MappedStatement.Builder builder = new MappedStatement.Builder(ms.getConfiguration(), ms.getId(), newSqlSource, ms.getSqlCommandType());
        builder.resource(ms.getResource());
        builder.fetchSize(ms.getFetchSize());
        builder.statementType(ms.getStatementType());
        builder.keyGenerator(ms.getKeyGenerator());
        builder.timeout(ms.getTimeout());
        builder.parameterMap(ms.getParameterMap());
        builder.resultMaps(ms.getResultMaps());
        builder.cache(ms.getCache());
        builder.useCache(ms.isUseCache());
        return builder.build();
    }

    /**
     * 通过注解判断是否需要限制数据
     * @return
     */

    private SqlLimit isLimit(MappedStatement mappedStatement) {
        SqlLimit sqlLimit = null;
        try {
            String id = mappedStatement.getId();
            String className = id.substring(0, id.lastIndexOf("."));
            String methodName = id.substring(id.lastIndexOf(".") + 1, id.length());
            final Class<?> cls = Class.forName(className);
            final Method[] method = cls.getMethods();
            for (Method me : method) {
                if (me.getName().equals(methodName) && me.isAnnotationPresent(SqlLimit.class)) {
                    sqlLimit = me.getAnnotation(SqlLimit.class);
                }
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return sqlLimit;
    }

    public static class BoundSqlSqlSource implements SqlSource {

        private final BoundSql boundSql;

        public BoundSqlSqlSource(BoundSql boundSql) {
            this.boundSql = boundSql;
        }

        @Override
        public BoundSql getBoundSql(Object parameterObject) {
            return boundSql;
        }
    }
}

顺便加了个注解 @SqlLimit,在 mapper 方法上加了此注解才进行数据权限过滤。 同时注解有两个属性,

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public @interface SqlLimit {
    /**
     * sql表别名
     * @return
     */

    String alis() default "";

    /**
     * 通过此列名进行限制
     * @return
     */

    String columnName() default "";
}

columnName 表示通过此列名进行限制,一般来说一个系统,各表当中的此列是统一的,可以忽略。

alis 用于标注 sql 表别名,如 针对 sql select * from tablea as a left join tableb as b on a.id = b.id 进行改写,如果不知道表别名,会直接在后面拼接 where dpt_id = #{dptId}, 那此 SQL 就会错误的,通过别名 @SqlLimit(alis = "a") 就可以知道需要拼接的是 where a.dpt_id = #{dptId}

执行结果。

原 SQL:select * from person, 数据权限替换后的SQL:select * from person where dpt_id = 234

原 SQL:select * from person where id > 1, 数据权限替换后的 SQL:select * from person where dpt_id = 234 and id > 1

但是在使用 PageHelper 进行分页的时候还是有问题。

可以看到先执行了 _COUNT 方法也就是 PageHelper,再执行了自定义的拦截器。

在我们的业务方法中注入 SqlSessionFactory。

@Autowired
@Lazy
private List<SqlSessionFactory> sqlSessionFactoryList;

PageInterceptor 为 1,自定义拦截器为 0,跟 order 相反,PageInterceptor 优先级更高,所以越先执行。

基于 Spring Boot + MyBatis Plus + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能

  • 项目地址:https://github.com/YunaiV/ruoyi-vue-pro
  • 视频教程:https://doc.iocoder.cn/video/

mybatis拦截器优先级

@Order

通过 @Order 控制 PageInterceptor 和 MySqlInterceptor 可行吗?

将 MySqlInterceptor 的加载优先级调到最高,但测试证明依然不行。

定义 3 个类。

@Component
@Order(2)
public class OrderTest1 {

    @PostConstruct
    public void init(){
        System.out.println(" 00000 init");
    }
}
@Component
@Order(1)
public class OrderTest2 {

    @PostConstruct
    public void init(){
        System.out.println(" 00001 init");
    }
}
@Component
@Order(0)
public class OrderTest3 {

    @PostConstruct
    public void init(){
        System.out.println(" 00002 init");
    }
}

OrderTest1,OrderTest2,OrderTest3 的优先级从低到高。

顺序预期的执行顺序应该是相反的:

00002 init
00001 init
00000 init

但事实上执行的顺序是

00000 init
00001 init
00002 init

@Order 不控制实例化顺序,只控制执行顺序。@Order 只跟特定一些注解生效 如:@Compent、 @Service、@Aspect … 不生效的如:@WebFilter

所以这里达不到预期效果。

@Priority 类似,同样不行。

@DependsOn

使用此注解将当前类将在依赖类实例化之后再执行实例化。

在 MySqlInterceptor 上标记@DependsOn("queryInterceptor")

启动报错,

这个时候 queryInterceptor 还没有实例化对象。

@PostConstruct

@PostConstruct 修饰的方法会在服务器加载 Servlet 的时候运行,并且只会被服务器执行一次。 在同一个类里,执行顺序为顺序如下:Constructor > @Autowired > @PostConstruct。

但它也不能保证不同类的执行顺序。

PageHelper 的 springboot start 也是通过这个来初始化拦截器的。

ApplicationRunner

在当前 springboot 容器加载完成后执行,那么这个时候 pagehelper 的拦截器已经加入,在这个时候加入自定义拦截器,就能达到我们想要的效果。

仿照 PageHelper 来写。

@Component
public class InterceptRunner implements ApplicationRunner {

    @Autowired
    private List<SqlSessionFactory> sqlSessionFactoryList;

    @Override
    public void run(ApplicationArguments args) throws Exception {
        MySqlInterceptor mybatisInterceptor = new MySqlInterceptor();
        for (SqlSessionFactory sqlSessionFactory : sqlSessionFactoryList) {
            org.apache.ibatis.session.Configuration configuration = sqlSessionFactory.getConfiguration();
            configuration.addInterceptor(mybatisInterceptor);
        }
    }
}

再执行,可以看到自定义拦截器在拦截器链当中下标变为了 1(优先级与 order 刚好相反)

后台打印结果,达到了预期效果。



欢迎加入我的知识星球,一起探讨架构,交流源码。加入方式,长按下方二维码噢

已在知识星球更新源码解析如下:

最近更新《芋道 SpringBoot 2.X 入门》系列,已经 101 余篇,覆盖了 MyBatis、Redis、MongoDB、ES、分库分表、读写分离、SpringMVC、Webflux、权限、WebSocket、Dubbo、RabbitMQ、RocketMQ、Kafka、性能测试等等内容。

提供近 3W 行代码的 SpringBoot 示例,以及超 4W 行代码的电商微服务项目。

获取方式:点“在看”,关注公众号并回复 666 领取,更多内容陆续奉上。

文章有帮助的话,在看,转发吧。

谢谢支持哟 (*^__^*)

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
基于MEMS技术布局气体检测蓝海市场,「精智未来」获数千万元Pre-A轮融资|早起看早期MyBatis-Plus 可视化代码生成器来啦,让你的开发效率大大提速!!一亩财经 | Youtube 打击广告拦截器;苹果市值破3万亿;Niantic Labs裁员...基于MNN在个人设备上流畅运行大语言模型Cell Discovery | 严欢课题组发表关于MERS-CoV相关病毒的宿主范围与跨种传播机制的最新研究成果生产环境又OutOfMemoryError了,这次是Mybatis的锅?记忆里的队长奶奶华为将推出盘古数字人大模型 号称“人人都将实现数字人自由”关于MBA中两难问题的深度探讨 | 五一对谈精华2023武汉4号线柏(bǎi)林电影周 | 征片开启 | 选片组成员公布加拿大大型公司惊现数据泄露!客户姓名、SIN号、地址全曝光MySQL 巨坑:永远不要在 MySQL 中使用 UTF-8!!巴黎市长将重修Châtelet 广场以方便行人SpringBoot+Mybatis 如何实现流式查询,你知道吗?从120s到2.5s!看看人家的MyBatis批量插入数据优化,那叫一个优雅!MyBatis 动态 SQL 最全教程,这样写 SQL 太爽了!字节面试 Spring 容器实例化Bean的方法,我这样回答直接给了37K几十万美元的退休生活FlinkSQL 数据权限之数据脱敏解决方案印度XR初创公司推出头显AjnaXR Pro;招聘显示:谷歌仍有可能开发基于Micro-LED的AR眼镜八十九 土改关于「美研」选择,就职于Meta的双硕士是这么说的...仅使用解码器实现语音翻译,字节跳动提出基于LLM的新范式PolyVoiceAgustín Hernández:中美洲建筑背景下的未来主义巨构【城事】巴黎市长将重修Châtelet 广场以方便行人再见 MyBatis-Plus !一张照片生成3D头像!苹果新模型击败StyleGAN2,表情光线都能调,网友:要用于MR?九十章 分田分物好骄傲啊!刚刚,Monash校长被正式任命新职位!留学生沸腾了,维州州长也毕业于Monash,太牛了大家!韩国成功进行L-SAM反导导弹拦截试验,配备动能拦截器,应对朝鲜导弹威胁呦呦鹿鸣不怯场MyBatis的10种精妙用法,真是妙啊!浙江:14家数据企业实现数据知识产权质押融资9700万元关于MQ,你了解多少宇宙人(1285期)“天宫”空间站电推进发动机首次实现在轨“换气”;LHT-200霍尔推力器实现稳定工作;朝鲜:这是最严重的错误
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。