0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何实现基于Mybatis拦截器实现数据范围权限呢?

jf_ro2CN3Fa 来源:稀土掘金 2023-06-20 09:59 次阅读

前端的菜单和按钮权限都可以通过配置来实现,但很多时候,后台查询数据库数据的权限需要通过手动添加SQL来实现。

比如员工打卡记录表,有 id、name、dpt_id、company_id 等字段,后两个表示部门 ID 和分公司 ID。

查看员工打卡记录 SQL 为:select id,name,dpt_id,company_id from t_record

当一个总部账号可以查看全部数据此时,sql 无需改变。因为他可以看到全部数据。

当一个部门管理员权限员工查看全部数据时,sql 需要在末属添加 where dpt_id = #{dpt_id}

如果每个功能模块都需要手动写代码去拿到当前登陆用户的所属部门,然后手动添加where条件,就显得非常的繁琐。

因此,可以通过 mybatis 的拦截器拿到查询 sql 语句,再自动改写 sql。

mybatis 拦截器

MyBatis 允许你在映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括:

Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)

ParameterHandler (getParameterObject, setParameters)

ResultSetHandler (handleResultSets, handleOutputParameters)

StatementHandler (prepare, parameterize, batch, update, query)

这些类中方法的细节可以通过查看每个方法的签名来发现,或者直接查看 MyBatis 发行包中的源代码。如果你想做的不仅仅是监控方法的调用,那么你最好相当了解要重写的方法的行为。因为在试图修改或重写已有方法的行为时,很可能会破坏 MyBatis 的核心模块。这些都是更底层的类和方法,所以使用插件的时候要特别当心。

通过 MyBatis 提供的强大机制,使用插件是非常简单的,只需实现 Interceptor 接口,并指定想要拦截的方法签名即可。

分页插件 pagehelper 就是一个典型的通过拦截器去改写 SQL 的。

855e0d7e-0f0a-11ee-962d-dac502259ad0.jpg

可以看到它通过注解 @Intercepts 和签名 @Signature 来实现,拦截 Executor 执行器,拦截所有的 query 查询类方法。

我们可以据此也实现自己的拦截器。

importcom.skycomm.common.util.user.Cpip2UserDeptVo;
importcom.skycomm.common.util.user.Cpip2UserDeptVoUtil;
importlombok.extern.slf4j.Slf4j;
importorg.apache.commons.lang3.StringUtils;
importorg.apache.ibatis.cache.CacheKey;
importorg.apache.ibatis.executor.Executor;
importorg.apache.ibatis.mapping.BoundSql;
importorg.apache.ibatis.mapping.MappedStatement;
importorg.apache.ibatis.mapping.SqlSource;
importorg.apache.ibatis.plugin.Interceptor;
importorg.apache.ibatis.plugin.Intercepts;
importorg.apache.ibatis.plugin.Invocation;
importorg.apache.ibatis.plugin.Signature;
importorg.apache.ibatis.session.ResultHandler;
importorg.apache.ibatis.session.RowBounds;
importorg.springframework.stereotype.Component;
importorg.springframework.web.context.request.RequestAttributes;
importorg.springframework.web.context.request.RequestContextHolder;
importorg.springframework.web.context.request.ServletRequestAttributes;

importjavax.servlet.http.HttpServletRequest;
importjava.lang.reflect.Method;

@Component
@Intercepts({
@Signature(type=Executor.class,method="query",args={MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class}),
@Signature(type=Executor.class,method="query",args={MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class,CacheKey.class,BoundSql.class}),
})
@Slf4j
publicclassMySqlInterceptorimplementsInterceptor{

@Override
publicObjectintercept(Invocationinvocation)throwsThrowable{
MappedStatementstatement=(MappedStatement)invocation.getArgs()[0];
Objectparameter=invocation.getArgs()[1];
BoundSqlboundSql=statement.getBoundSql(parameter);
StringoriginalSql=boundSql.getSql();
ObjectparameterObject=boundSql.getParameterObject();

SqlLimitsqlLimit=isLimit(statement);
if(sqlLimit==null){
returninvocation.proceed();
}

RequestAttributesreq=RequestContextHolder.getRequestAttributes();
if(req==null){
returninvocation.proceed();
}

//处理request
HttpServletRequestrequest=((ServletRequestAttributes)req).getRequest();
Cpip2UserDeptVouserVo=Cpip2UserDeptVoUtil.getUserDeptInfo(request);
StringdepId=userVo.getDeptId();

Stringsql=addTenantCondition(originalSql,depId,sqlLimit.alis());
log.info("原SQL:{},数据权限替换后的SQL:{}",originalSql,sql);
BoundSqlnewBoundSql=newBoundSql(statement.getConfiguration(),sql,boundSql.getParameterMappings(),parameterObject);
MappedStatementnewStatement=copyFromMappedStatement(statement,newBoundSqlSqlSource(newBoundSql));
invocation.getArgs()[0]=newStatement;
returninvocation.proceed();
}

/**
*重新拼接SQL
*/
privateStringaddTenantCondition(StringoriginalSql,StringdepId,Stringalias){
Stringfield="dpt_id";
if(StringUtils.isNoneBlank(alias)){
field=alias+"."+field;
}

StringBuildersb=newStringBuilder(originalSql);
intindex=sb.indexOf("where");
if(index< 0) {
            sb.append(" where ") .append(field).append(" = ").append(depId);
        } else {
            sb.insert(index + 5, " " + field +" = " + depId + " and ");
        }
        return sb.toString();
    }

    private MappedStatement copyFromMappedStatement(MappedStatement ms, SqlSource newSqlSource) {
        MappedStatement.Builder builder = new MappedStatement.Builder(ms.getConfiguration(), ms.getId(), newSqlSource, ms.getSqlCommandType());
        builder.resource(ms.getResource());
        builder.fetchSize(ms.getFetchSize());
        builder.statementType(ms.getStatementType());
        builder.keyGenerator(ms.getKeyGenerator());
        builder.timeout(ms.getTimeout());
        builder.parameterMap(ms.getParameterMap());
        builder.resultMaps(ms.getResultMaps());
        builder.cache(ms.getCache());
        builder.useCache(ms.isUseCache());
        return builder.build();
    }

    /**
     * 通过注解判断是否需要限制数据
     * @return
     */
    private SqlLimit isLimit(MappedStatement mappedStatement) {
        SqlLimit sqlLimit = null;
        try {
            String id = mappedStatement.getId();
            String className = id.substring(0, id.lastIndexOf("."));
            String methodName = id.substring(id.lastIndexOf(".") + 1, id.length());
            final Classcls=Class.forName(className);
finalMethod[]method=cls.getMethods();
for(Methodme:method){
if(me.getName().equals(methodName)&&me.isAnnotationPresent(SqlLimit.class)){
sqlLimit=me.getAnnotation(SqlLimit.class);
}
}
}catch(Exceptione){
e.printStackTrace();
}
returnsqlLimit;
}

publicstaticclassBoundSqlSqlSourceimplementsSqlSource{

privatefinalBoundSqlboundSql;

publicBoundSqlSqlSource(BoundSqlboundSql){
this.boundSql=boundSql;
}

@Override
publicBoundSqlgetBoundSql(ObjectparameterObject){
returnboundSql;
}
}
}

顺便加了个注解 @SqlLimit,在 mapper 方法上加了此注解才进行数据权限过滤。同时注解有两个属性,

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public@interfaceSqlLimit{
/**
*sql表别名
*@return
*/
Stringalis()default"";

/**
*通过此列名进行限制
*@return
*/
StringcolumnName()default"";
}

columnName 表示通过此列名进行限制,一般来说一个系统,各表当中的此列是统一的,可以忽略。

alis 用于标注 sql 表别名,如 针对 sql select * from tablea as a left join tableb as b on a.id = b.id 进行改写,如果不知道表别名,会直接在后面拼接 where dpt_id = #{dptId},那此 SQL 就会错误的,通过别名 @SqlLimit(alis = "a") 就可以知道需要拼接的是 where a.dpt_id = #{dptId}

执行结果。

原 SQL:select * from person, 数据权限替换后的SQL:select * from person where dpt_id = 234。

原 SQL:select * from person where id > 1, 数据权限替换后的 SQL:select * from person where dpt_id = 234 and id > 1。

但是在使用 PageHelper 进行分页的时候还是有问题。

857effca-0f0a-11ee-962d-dac502259ad0.jpg

可以看到先执行了 _COUNT 方法也就是 PageHelper,再执行了自定义的拦截器。

在我们的业务方法中注入 SqlSessionFactory。

@Autowired
@Lazy
privateListsqlSessionFactoryList;
859abcba-0f0a-11ee-962d-dac502259ad0.jpg

PageInterceptor 为 1,自定义拦截器为 0,跟 order 相反,PageInterceptor 优先级更高,所以越先执行。

mybatis拦截器优先级

@Order

通过 @Order 控制 PageInterceptor 和 MySqlInterceptor 可行吗?

85ad7ca6-0f0a-11ee-962d-dac502259ad0.jpg

将 MySqlInterceptor 的加载优先级调到最高,但测试证明依然不行。

定义 3 个类。

@Component
@Order(2)
publicclassOrderTest1{

@PostConstruct
publicvoidinit(){
System.out.println("00000init");
}
}
@Component
@Order(1)
publicclassOrderTest2{

@PostConstruct
publicvoidinit(){
System.out.println("00001init");
}
}
@Component
@Order(0)
publicclassOrderTest3{

@PostConstruct
publicvoidinit(){
System.out.println("00002init");
}
}

OrderTest1,OrderTest2,OrderTest3 的优先级从低到高。

顺序预期的执行顺序应该是相反的:

00002init
00001init
00000init

但事实上执行的顺序是

00000init
00001init
00002init

@Order 不控制实例化顺序,只控制执行顺序。@Order 只跟特定一些注解生效 如:@Compent、 @Service、@Aspect … 不生效的如:@WebFilter

所以这里达不到预期效果。

@Priority 类似,同样不行。

@DependsOn

使用此注解将当前类将在依赖类实例化之后再执行实例化。

在 MySqlInterceptor 上标记@DependsOn("queryInterceptor")

85cec4a6-0f0a-11ee-962d-dac502259ad0.jpg

启动报错,

这个时候 queryInterceptor 还没有实例化对象。

@PostConstruct

@PostConstruct 修饰的方法会在服务器加载 Servlet 的时候运行,并且只会被服务器执行一次。在同一个类里,执行顺序为顺序如下:Constructor > @Autowired > @PostConstruct。

但它也不能保证不同类的执行顺序。

PageHelper 的 springboot start 也是通过这个来初始化拦截器的。

85e3f43e-0f0a-11ee-962d-dac502259ad0.jpg

ApplicationRunner

在当前 springboot 容器加载完成后执行,那么这个时候 pagehelper 的拦截器已经加入,在这个时候加入自定义拦截器,就能达到我们想要的效果。

仿照 PageHelper 来写。

@Component
publicclassInterceptRunnerimplementsApplicationRunner{

@Autowired
privateListsqlSessionFactoryList;

@Override
publicvoidrun(ApplicationArgumentsargs)throwsException{
MySqlInterceptormybatisInterceptor=newMySqlInterceptor();
for(SqlSessionFactorysqlSessionFactory:sqlSessionFactoryList){
org.apache.ibatis.session.Configurationconfiguration=sqlSessionFactory.getConfiguration();
configuration.addInterceptor(mybatisInterceptor);
}
}
}

再执行,可以看到自定义拦截器在拦截器链当中下标变为了 1(优先级与 order 刚好相反)

860ace9c-0f0a-11ee-962d-dac502259ad0.jpg

后台打印结果,达到了预期效果。

8631d384-0f0a-11ee-962d-dac502259ad0.jpg





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • SQL
    SQL
    +关注

    关注

    1

    文章

    764

    浏览量

    44127
  • MYSQL数据库
    +关注

    关注

    0

    文章

    96

    浏览量

    9390

原文标题:基于Mybatis拦截器实现数据范围权限

文章出处:【微信号:芋道源码,微信公众号:芋道源码】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    Mybatis 拦截器实现数据源内多数据库切换

    数据库 现在需要上线报表服务来查询所有数据库中的数据进行统计,那么现在的问题来了,该如何 满足在配置一个数据源的情况下来查询该数据源下不同
    的头像 发表于 12-12 10:23 723次阅读

    HarmonyOS实战开发-如何在Navigation中完成路由拦截

    路由拦截器interceptor.ets,定义拦截容器、注册方法和公共拦截逻辑,interceptor.ets /** * 定义拦截实现
    发表于 05-08 14:21

    [推荐]奥运全球眼 网络视频摄像机 电话报警系统 -电话报警 GSM防盗

    ................................................................. 414.3.4 会话bean 的生命周期回调拦截器方法 ................................. 424.3.5
    发表于 07-07 15:39

    基于SpringBoot mybatis方式的增删改查实现

    SpringBoot mybatis方式实现增删改查
    发表于 06-18 16:56

    动能拦截器六自由度仿真建模研究

    仿真建模技术是动能拦截器制导律研究中的重要技术,文中主要建立动能拦截器的轨道运动动力学以及姿态运动动力学模型,并建立完整的制导控制系统数学模型。文末,以某型
    发表于 08-07 08:50 14次下载

    利用API拦截技术实现串口通信数据拦截

    文中介绍了API 拦截技术的基本原理和应用框架,研究了实现拦截Windows API 函数的一种方法,最后详细说明了利用此法实现串口通信数据
    发表于 05-13 15:51 24次下载
    利用API<b class='flag-5'>拦截</b>技术<b class='flag-5'>实现</b>串口通信<b class='flag-5'>数据</b><b class='flag-5'>拦截</b>

    springmvc 自定义拦截器实现未登录用户的拦截

    springmvc自定义拦截器实现未登录用户的拦截
    发表于 11-25 14:44 2519次阅读
    springmvc 自定义<b class='flag-5'>拦截器</b><b class='flag-5'>实现</b>未登录用户的<b class='flag-5'>拦截</b>

    MyBatis实现原理

    本文主要详细介绍了MyBatis实现原理。mybatis底层还是采用原生jdbc来对数据库进行操作的,只是通过 SqlSessionFactory,SqlSession Execut
    的头像 发表于 02-24 11:25 6488次阅读
    <b class='flag-5'>MyBatis</b>的<b class='flag-5'>实现</b>原理

    SpringBoot+ElasticSearch实现模糊查询功能

    基于 Spring Boot + MyBatis Plus + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据
    的头像 发表于 12-30 14:00 1013次阅读

    SpringBoot+Mybatis如何实现流式查询?

    使用mybatis作为持久层的框架时,通过mybatis执行查询数据的请求执行成功后,mybatis返回的结果集不是一个集合或对象,而是一个迭代
    的头像 发表于 06-12 09:57 1272次阅读

    基于Mybatis拦截器实现数据范围权限

    前端的菜单和按钮权限都可以通过配置来实现,但很多时候,后台查询数据数据权限需要通过手动添加SQL来
    的头像 发表于 06-20 09:57 1336次阅读
    基于<b class='flag-5'>Mybatis</b><b class='flag-5'>拦截器</b><b class='flag-5'>实现</b><b class='flag-5'>数据</b><b class='flag-5'>范围</b><b class='flag-5'>权限</b>

    如何利用MyBatis Plus去实现数据权限控制

    平时开发中遇到根据当前用户的角色,只能查看数据权限范围数据需求。列表实现方案有两种,一是在开发初期就做好判断赛选,但如果这个需求是中途加的
    的头像 发表于 08-23 10:40 1058次阅读
    如何利用<b class='flag-5'>MyBatis</b> Plus去<b class='flag-5'>实现</b><b class='flag-5'>数据</b><b class='flag-5'>权限</b>控制<b class='flag-5'>呢</b>?

    springboot过滤器和拦截器哪个先执行

    Spring Boot是一个用于构建Java应用程序的开发框架,它提供了许多功能和工具来简化开发和部署过程。其中两个重要的功能是过滤器和拦截器。本文将详细介绍Spring Boot过滤器和拦截器
    的头像 发表于 12-03 15:00 2542次阅读

    使用go语言实现一个grpc拦截器

    在开发grpc服务时,我们经常会遇到一些通用的需求,比如:日志、链路追踪、鉴权等。这些需求可以通过grpc拦截器实现。本文使用go语言来实现一个 grpc一元模式(Unary)拦截器
    的头像 发表于 12-18 10:13 671次阅读
    使用go语言<b class='flag-5'>实现</b>一个grpc<b class='flag-5'>拦截器</b>

    使用mybatis切片实现数据权限控制

    一、使用方式 数据权限控制需要对查询出的数据进行筛选,对业务入侵最少的方式就是利用mybatis或者数据库连接池的切片对已有业务的sql进行
    的头像 发表于 07-09 17:26 369次阅读
    使用<b class='flag-5'>mybatis</b>切片<b class='flag-5'>实现</b><b class='flag-5'>数据</b><b class='flag-5'>权限</b>控制