如何实现基于Mybatis拦截器实现数据范围权限呢？

前端的菜单和按钮权限都可以通过配置来实现，但很多时候，后台查询数据库数据的权限需要通过手动添加SQL来实现。

比如员工打卡记录表，有 id、name、dpt_id、company_id 等字段，后两个表示部门 ID 和分公司 ID。

查看员工打卡记录 SQL 为：select id,name,dpt_id,company_id from t_record

当一个总部账号可以查看全部数据此时，sql 无需改变。因为他可以看到全部数据。

当一个部门管理员权限员工查看全部数据时，sql 需要在末属添加 where dpt_id = #{dpt_id}

如果每个功能模块都需要手动写代码去拿到当前登陆用户的所属部门，然后手动添加where条件，就显得非常的繁琐。

因此，可以通过 mybatis 的拦截器拿到查询 sql 语句，再自动改写 sql。

mybatis 拦截器

MyBatis 允许你在映射语句执行过程中的某一点进行拦截调用。默认情况下，MyBatis 允许使用插件来拦截的方法调用包括：

Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)

ParameterHandler (getParameterObject, setParameters)

ResultSetHandler (handleResultSets, handleOutputParameters)

StatementHandler (prepare, parameterize, batch, update, query)

这些类中方法的细节可以通过查看每个方法的签名来发现，或者直接查看 MyBatis 发行包中的源代码。如果你想做的不仅仅是监控方法的调用，那么你最好相当了解要重写的方法的行为。因为在试图修改或重写已有方法的行为时，很可能会破坏 MyBatis 的核心模块。这些都是更底层的类和方法，所以使用插件的时候要特别当心。

通过 MyBatis 提供的强大机制，使用插件是非常简单的，只需实现 Interceptor 接口，并指定想要拦截的方法签名即可。

分页插件 pagehelper 就是一个典型的通过拦截器去改写 SQL 的。

可以看到它通过注解 @Intercepts 和签名 @Signature 来实现，拦截 Executor 执行器，拦截所有的 query 查询类方法。

我们可以据此也实现自己的拦截器。

importcom.skycomm.common.util.user.Cpip2UserDeptVo;
importcom.skycomm.common.util.user.Cpip2UserDeptVoUtil;
importlombok.extern.slf4j.Slf4j;
importorg.apache.commons.lang3.StringUtils;
importorg.apache.ibatis.cache.CacheKey;
importorg.apache.ibatis.executor.Executor;
importorg.apache.ibatis.mapping.BoundSql;
importorg.apache.ibatis.mapping.MappedStatement;
importorg.apache.ibatis.mapping.SqlSource;
importorg.apache.ibatis.plugin.Interceptor;
importorg.apache.ibatis.plugin.Intercepts;
importorg.apache.ibatis.plugin.Invocation;
importorg.apache.ibatis.plugin.Signature;
importorg.apache.ibatis.session.ResultHandler;
importorg.apache.ibatis.session.RowBounds;
importorg.springframework.stereotype.Component;
importorg.springframework.web.context.request.RequestAttributes;
importorg.springframework.web.context.request.RequestContextHolder;
importorg.springframework.web.context.request.ServletRequestAttributes;

importjavax.servlet.http.HttpServletRequest;
importjava.lang.reflect.Method;

@Component
@Intercepts({
@Signature(type=Executor.class,method="query",args={MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class}),
@Signature(type=Executor.class,method="query",args={MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class,CacheKey.class,BoundSql.class}),
})
@Slf4j
publicclassMySqlInterceptorimplementsInterceptor{

@Override
publicObjectintercept(Invocationinvocation)throwsThrowable{
MappedStatementstatement=(MappedStatement)invocation.getArgs()[0];
Objectparameter=invocation.getArgs()[1];
BoundSqlboundSql=statement.getBoundSql(parameter);
StringoriginalSql=boundSql.getSql();
ObjectparameterObject=boundSql.getParameterObject();

SqlLimitsqlLimit=isLimit(statement);
if(sqlLimit==null){
returninvocation.proceed();
}

RequestAttributesreq=RequestContextHolder.getRequestAttributes();
if(req==null){
returninvocation.proceed();
}

//处理request
HttpServletRequestrequest=((ServletRequestAttributes)req).getRequest();
Cpip2UserDeptVouserVo=Cpip2UserDeptVoUtil.getUserDeptInfo(request);
StringdepId=userVo.getDeptId();

Stringsql=addTenantCondition(originalSql,depId,sqlLimit.alis());
log.info("原SQL：{}，数据权限替换后的SQL：{}",originalSql,sql);
BoundSqlnewBoundSql=newBoundSql(statement.getConfiguration(),sql,boundSql.getParameterMappings(),parameterObject);
MappedStatementnewStatement=copyFromMappedStatement(statement,newBoundSqlSqlSource(newBoundSql));
invocation.getArgs()[0]=newStatement;
returninvocation.proceed();
}

/**
*重新拼接SQL
*/
privateStringaddTenantCondition(StringoriginalSql,StringdepId,Stringalias){
Stringfield="dpt_id";
if(StringUtils.isNoneBlank(alias)){
field=alias+"."+field;
}

StringBuildersb=newStringBuilder(originalSql);
intindex=sb.indexOf("where");
if(index< 0) {
            sb.append(" where ") .append(field).append(" = ").append(depId);
        } else {
            sb.insert(index + 5, " " + field +" = " + depId + " and ");
        }
        return sb.toString();
    }

    private MappedStatement copyFromMappedStatement(MappedStatement ms, SqlSource newSqlSource) {
        MappedStatement.Builder builder = new MappedStatement.Builder(ms.getConfiguration(), ms.getId(), newSqlSource, ms.getSqlCommandType());
        builder.resource(ms.getResource());
        builder.fetchSize(ms.getFetchSize());
        builder.statementType(ms.getStatementType());
        builder.keyGenerator(ms.getKeyGenerator());
        builder.timeout(ms.getTimeout());
        builder.parameterMap(ms.getParameterMap());
        builder.resultMaps(ms.getResultMaps());
        builder.cache(ms.getCache());
        builder.useCache(ms.isUseCache());
        return builder.build();
    }

    /**
     * 通过注解判断是否需要限制数据
     * @return
     */
    private SqlLimit isLimit(MappedStatement mappedStatement) {
        SqlLimit sqlLimit = null;
        try {
            String id = mappedStatement.getId();
            String className = id.substring(0, id.lastIndexOf("."));
            String methodName = id.substring(id.lastIndexOf(".") + 1, id.length());
            final Classcls=Class.forName(className);
finalMethod[]method=cls.getMethods();
for(Methodme:method){
if(me.getName().equals(methodName)&&me.isAnnotationPresent(SqlLimit.class)){
sqlLimit=me.getAnnotation(SqlLimit.class);
}
}
}catch(Exceptione){
e.printStackTrace();
}
returnsqlLimit;
}

publicstaticclassBoundSqlSqlSourceimplementsSqlSource{

privatefinalBoundSqlboundSql;

publicBoundSqlSqlSource(BoundSqlboundSql){
this.boundSql=boundSql;
}

@Override
publicBoundSqlgetBoundSql(ObjectparameterObject){
returnboundSql;
}
}
}

顺便加了个注解 @SqlLimit，在 mapper 方法上加了此注解才进行数据权限过滤。同时注解有两个属性，

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public@interfaceSqlLimit{
/**
*sql表别名
*@return
*/
Stringalis()default"";

/**
*通过此列名进行限制
*@return
*/
StringcolumnName()default"";
}

columnName 表示通过此列名进行限制，一般来说一个系统，各表当中的此列是统一的，可以忽略。

alis 用于标注 sql 表别名，如 针对 sql select * from tablea as a left join tableb as b on a.id = b.id 进行改写，如果不知道表别名，会直接在后面拼接 where dpt_id = #{dptId},那此 SQL 就会错误的，通过别名 @SqlLimit(alis = "a") 就可以知道需要拼接的是 where a.dpt_id = #{dptId}

执行结果。

原 SQL：select * from person， 数据权限替换后的SQL：select * from person where dpt_id = 234。

原 SQL：select * from person where id > 1， 数据权限替换后的 SQL：select * from person where dpt_id = 234 and id > 1。

但是在使用 PageHelper 进行分页的时候还是有问题。

可以看到先执行了 _COUNT 方法也就是 PageHelper，再执行了自定义的拦截器。

在我们的业务方法中注入 SqlSessionFactory。

@Autowired
@Lazy
privateListsqlSessionFactoryList;

PageInterceptor 为 1，自定义拦截器为 0，跟 order 相反，PageInterceptor 优先级更高，所以越先执行。

mybatis拦截器优先级

@Order

通过 @Order 控制 PageInterceptor 和 MySqlInterceptor 可行吗？

将 MySqlInterceptor 的加载优先级调到最高，但测试证明依然不行。

定义 3 个类。

@Component
@Order(2)
publicclassOrderTest1{

@PostConstruct
publicvoidinit(){
System.out.println("00000init");
}
}
@Component
@Order(1)
publicclassOrderTest2{

@PostConstruct
publicvoidinit(){
System.out.println("00001init");
}
}
@Component
@Order(0)
publicclassOrderTest3{

@PostConstruct
publicvoidinit(){
System.out.println("00002init");
}
}

OrderTest1，OrderTest2，OrderTest3 的优先级从低到高。

顺序预期的执行顺序应该是相反的：

00002init
00001init
00000init

但事实上执行的顺序是

00000init
00001init
00002init

@Order 不控制实例化顺序，只控制执行顺序。@Order 只跟特定一些注解生效 如：@Compent、 @Service、@Aspect … 不生效的如：@WebFilter

所以这里达不到预期效果。

@Priority 类似，同样不行。

@DependsOn

使用此注解将当前类将在依赖类实例化之后再执行实例化。

在 MySqlInterceptor 上标记@DependsOn("queryInterceptor")

启动报错，

这个时候 queryInterceptor 还没有实例化对象。

@PostConstruct

@PostConstruct 修饰的方法会在服务器加载 Servlet 的时候运行，并且只会被服务器执行一次。在同一个类里，执行顺序为顺序如下：Constructor > @Autowired > @PostConstruct。

但它也不能保证不同类的执行顺序。

PageHelper 的 springboot start 也是通过这个来初始化拦截器的。

ApplicationRunner

在当前 springboot 容器加载完成后执行，那么这个时候 pagehelper 的拦截器已经加入，在这个时候加入自定义拦截器，就能达到我们想要的效果。

仿照 PageHelper 来写。

@Component
publicclassInterceptRunnerimplementsApplicationRunner{

@Autowired
privateListsqlSessionFactoryList;

@Override
publicvoidrun(ApplicationArgumentsargs)throwsException{
MySqlInterceptormybatisInterceptor=newMySqlInterceptor();
for(SqlSessionFactorysqlSessionFactory:sqlSessionFactoryList){
org.apache.ibatis.session.Configurationconfiguration=sqlSessionFactory.getConfiguration();
configuration.addInterceptor(mybatisInterceptor);
}
}
}

再执行，可以看到自定义拦截器在拦截器链当中下标变为了 1（优先级与 order 刚好相反）

后台打印结果，达到了预期效果。

审核编辑：刘清