使用mybatis切片實(shí)現(xiàn)數(shù)據(jù)權(quán)限控制
一、使用方式
數(shù)據(jù)權(quán)限控制需要對(duì)查詢出的數(shù)據(jù)進(jìn)行篩選,對(duì)業(yè)務(wù)入侵最少的方式就是利用mybatis或者數(shù)據(jù)庫(kù)連接池的切片對(duì)已有業(yè)務(wù)的sql進(jìn)行修改。切片邏輯完成后,僅需要在業(yè)務(wù)中加入少量標(biāo)記代碼,就可以實(shí)現(xiàn)對(duì)數(shù)據(jù)權(quán)限的控制。這種修改方式,對(duì)老業(yè)務(wù)的邏輯沒(méi)有入侵或只有少量入侵,基本不影響老業(yè)務(wù)的邏輯和可讀性;對(duì)新業(yè)務(wù),業(yè)務(wù)開(kāi)發(fā)人員無(wú)需過(guò)多關(guān)注權(quán)限問(wèn)題,可以集中精力處理業(yè)務(wù)邏輯。
由于部門代碼中使用的數(shù)據(jù)庫(kù)連接池種類較多,不利于切片控制邏輯的快速完成,而sql拼接的部分基本只有mybatis和java字符串直接拼接兩種方式,因此使用mybatis切片的方式來(lái)完成數(shù)據(jù)權(quán)限控制邏輯。在mybatis的mapper文件的接口上添加注解,注解中寫明需要控制的權(quán)限種類、要控制的表名、列名即可控制接口的數(shù)據(jù)權(quán)限。
??
由于mybatis的mapper文件中的同一接口在多個(gè)地方被調(diào)用,有的需要控制數(shù)據(jù)權(quán)限,有的不需要,因此增加一種權(quán)限控制方式:通過(guò)ThreadLocal傳遞權(quán)限控制規(guī)則來(lái)控制當(dāng)前sql執(zhí)行時(shí)控制數(shù)據(jù)權(quán)限。
??
權(quán)限控制規(guī)則格式如下:
限權(quán)規(guī)則code1(表名1.字段名1,表名2.字段名2);限權(quán)規(guī)則code2(表名3.字段名3,表名4.字段名4)
例如:enterprise(channel.enterprise_code);account(table.column);channel(table3.id)
上下文傳遞工具類如下所示,使用回調(diào)的方式傳遞ThreadLocal可以防止使用者忘記清除上下文。
?
public class DataAuthContextUtil { /** * 不方便使用注解的地方,可以直接使用上下文設(shè)置數(shù)據(jù)規(guī)則 */ private static ThreadLocal useDataAuth = new ThreadLocal(); /** * 有的sql只在部分情況下需要使用數(shù)據(jù)權(quán)限限制 * 上下文和注解中均可設(shè)置數(shù)據(jù)權(quán)限規(guī)則,都設(shè)置時(shí),上下文中的優(yōu)先 * * @param supplier */ public static T executeSqlWithDataAuthRule(String rule, Supplier supplier) { try { useDataAuth.set(rule); return supplier.get(); } finally { useDataAuth.remove(); } } /** * 獲取數(shù)據(jù)權(quán)限標(biāo)志 * * @return */ public static String getUseDataAuthRule() { return useDataAuth.get(); } }
二、切片實(shí)現(xiàn)流程
??
三、其他技術(shù)細(xì)節(jié)
(1)在切面中獲取原始sql
import lombok.extern.slf4j.Slf4j; import org.apache.commons.collections4.CollectionUtils; import org.apache.commons.lang3.StringUtils; import org.apache.ibatis.cache.CacheKey; import org.apache.ibatis.executor.Executor; import org.apache.ibatis.mapping.BoundSql; import org.apache.ibatis.mapping.MappedStatement; import org.apache.ibatis.mapping.SqlSource; import org.apache.ibatis.plugin.Interceptor; import org.apache.ibatis.plugin.Intercepts; import org.apache.ibatis.plugin.Invocation; import org.apache.ibatis.plugin.Signature; import org.apache.ibatis.reflection.DefaultReflectorFactory; import org.apache.ibatis.reflection.MetaObject; import org.apache.ibatis.reflection.factory.DefaultObjectFactory; import org.apache.ibatis.reflection.wrapper.DefaultObjectWrapperFactory; import org.apache.ibatis.session.ResultHandler; import org.apache.ibatis.session.RowBounds; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; import reactor.util.function.Tuple2; import java.lang.reflect.Method; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.Set; @Component @Intercepts({ // @Signature(type = Executor.class, method = "update", args = {MappedStatement.class, Object.class}), @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}), @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class}) }) @Slf4j public class DataAuthInterceptor implements Interceptor { @Override public Object intercept(Invocation invocation) throws Throwable { try { MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0]; BoundSql boundSql = mappedStatement.getBoundSql(invocation.getArgs()[1]); String sql = boundSql.getSql(); } catch (Exception e) { log.error("數(shù)據(jù)權(quán)限添加出錯(cuò),當(dāng)前sql未加數(shù)據(jù)權(quán)限限制!", e); throw e; } return invocation.proceed(); } }
(2)將權(quán)限項(xiàng)加入原始sql中
使用druid附帶的ast解析功能修改sql,代碼如下
/**
* 權(quán)限限制寫入sql
*
* @param sql
* @param tableAuthMap key:table value1:column value2:values權(quán)限項(xiàng)
* @return
*/
public static StringBuilder addAuthLimitToSql(String sql, Map>> tableAuthMap) {
List stmtList = SQLUtils.parseStatements(sql, "mysql");
StringBuilder authSql = new StringBuilder();
for (SQLStatement stmt : stmtList) {
stmt.accept(new MySqlASTVisitorAdapter() {
@Override
public boolean visit(MySqlSelectQueryBlock x) {
SQLTableSource from = x.getFrom();
Set tableList = new HashSet();
getTableList(from, tableList);
for (String tableName : tableList) {
if (tableAuthMap.containsKey(tableName)) {
x.addCondition(tableName + "in (...略)");
}
}
return true;
}
});
authSql.append(stmt);
}
return authSql;
}
private static void getTableList(SQLTableSource from, Set tableList) {
if (from instanceof SQLExprTableSource) {
SQLExprTableSource tableSource = (SQLExprTableSource) from;
String name = tableSource.getTableName().replace("`", "");
tableList.add(name);
String alias = tableSource.getAlias();
if (StringUtils.isNotBlank(alias)) {
tableList.add(alias.replace("`", ""));
}
} else if (from instanceof SQLJoinTableSource) {
SQLJoinTableSource joinTableSource = (SQLJoinTableSource) from;
getTableList(joinTableSource.getLeft(), tableList);
getTableList(joinTableSource.getRight(), tableList);
} else if (from instanceof SQLSubqueryTableSource) {
SQLSubqueryTableSource tableSource = (SQLSubqueryTableSource) from;
tableList.add(tableSource.getAlias().replace("`", ""));
} else if (from instanceof SQLLateralViewTableSource) {
log.warn("SQLLateralView不用處理");
} else if (from instanceof SQLUnionQueryTableSource) {
//union 不需要處理
log.warn("union不用處理");
} else if (from instanceof SQLUnnestTableSource) {
log.warn("Unnest不用處理");
} else if (from instanceof SQLValuesTableSource) {
log.warn("Values不用處理");
} else if (from instanceof SQLWithSubqueryClause) {
log.warn("子查詢不用處理");
} else if (from instanceof SQLTableSourceImpl) {
log.warn("Impl不用處理");
}
}
}
(3)將修改過(guò)后的sql寫回mybatis
MappedStatement ms = (MappedStatement) invocation.getArgs()[0];
BoundSql boundSql = ms.getBoundSql(invocation.getArgs()[1]);
// 組裝 MappedStatement
MappedStatement.Builder builder = new MappedStatement.Builder(ms.getConfiguration(), ms.getId(), new MySqlSource(boundSql), ms.getSqlCommandType());
builder.resource(ms.getResource());
builder.fetchSize(ms.getFetchSize());
builder.statementType(ms.getStatementType());
builder.keyGenerator(ms.getKeyGenerator());
if (ms.getKeyProperties() != null && ms.getKeyProperties().length != 0) {
StringBuilder keyProperties = new StringBuilder();
for (String keyProperty : ms.getKeyProperties()) {
keyProperties.append(keyProperty).append(",");
}
keyProperties.delete(keyProperties.length() - 1, keyProperties.length());
builder.keyProperty(keyProperties.toString());
}
builder.timeout(ms.getTimeout());
builder.parameterMap(ms.getParameterMap());
builder.resultMaps(ms.getResultMaps());
builder.resultSetType(ms.getResultSetType());
builder.cache(ms.getCache());
builder.flushCacheRequired(ms.isFlushCacheRequired());
builder.useCache(ms.isUseCache());
MappedStatement newMappedStatement = builder.build();
MetaObject metaObject = MetaObject.forObject(newMappedStatement, new DefaultObjectFactory(), new DefaultObjectWrapperFactory(), new DefaultReflectorFactory());
metaObject.setValue("sqlSource.boundSql.sql", newSql);
invocation.getArgs()[0] = newMappedStatement;
?
參考文章: https://blog.csdn.net/e_anjing/article/details/79102693
審核編輯 黃宇
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。
舉報(bào)投訴
-
權(quán)限控制
+關(guān)注
關(guān)注
0文章
5瀏覽量
6460 -
mybatis
+關(guān)注
關(guān)注
0文章
64瀏覽量
6914
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
熱點(diǎn)推薦
基于RBAC的限制約束在權(quán)限控制中的實(shí)現(xiàn)
本文針對(duì)當(dāng)前權(quán)限控制框架在權(quán)限控制和數(shù)據(jù)保護(hù)方面存在的問(wèn)題,提出一種新的權(quán)限
發(fā)表于 01-15 16:08
?6次下載
PLM系統(tǒng)中數(shù)據(jù)權(quán)限控制研究
基于PLM系統(tǒng)中影響數(shù)據(jù)權(quán)限的4種因素,提出了基于權(quán)限規(guī)則的動(dòng)態(tài)權(quán)限控制機(jī)制。為了使數(shù)據(jù)對(duì)象的生
發(fā)表于 03-07 15:17
?0次下載
基于ThinkPHP的權(quán)限控制模塊的設(shè)計(jì)與實(shí)現(xiàn)許宏云
基于ThinkPHP的權(quán)限控制模塊的設(shè)計(jì)與實(shí)現(xiàn)_許宏云
發(fā)表于 03-17 08:00
?0次下載
MyBatis的實(shí)現(xiàn)原理
本文主要詳細(xì)介紹了MyBatis的實(shí)現(xiàn)原理。mybatis底層還是采用原生jdbc來(lái)對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作的,只是通過(guò) SqlSessionFactory,SqlSession Execut
Fluent Mybatis、原生Mybatis和Mybatis Plus對(duì)比
使用fluent mybatis可以不用寫具體的xml文件,通過(guò)java api可以構(gòu)造出比較復(fù)雜的業(yè)務(wù)sql語(yǔ)句,做到代碼邏輯和sql邏輯的合一。不再需要在Dao中組裝查詢或更新操作,在xml或
權(quán)限系統(tǒng)中的數(shù)據(jù)權(quán)限設(shè)計(jì)經(jīng)驗(yàn)分享
RBAC模型 數(shù)據(jù)權(quán)限 數(shù)據(jù)規(guī)則 關(guān)聯(lián)資源、用戶 繼續(xù)優(yōu)化 小結(jié) 在項(xiàng)目實(shí)際開(kāi)發(fā)中我們不光要控制一個(gè)用戶能訪問(wèn)哪些資源,還需要控制用戶只能訪
SpringBoot+Mybatis如何實(shí)現(xiàn)流式查詢?
使用mybatis作為持久層的框架時(shí),通過(guò)mybatis執(zhí)行查詢數(shù)據(jù)的請(qǐng)求執(zhí)行成功后,mybatis返回的結(jié)果集不是一個(gè)集合或?qū)ο螅且粋€(gè)迭代器,可以通過(guò)遍歷迭代器來(lái)取出結(jié)果集
基于Mybatis攔截器實(shí)現(xiàn)數(shù)據(jù)范圍權(quán)限
前端的菜單和按鈕權(quán)限都可以通過(guò)配置來(lái)實(shí)現(xiàn),但很多時(shí)候,后臺(tái)查詢數(shù)據(jù)庫(kù)數(shù)據(jù)的權(quán)限需要通過(guò)手動(dòng)添加SQL來(lái)實(shí)
如何實(shí)現(xiàn)基于Mybatis攔截器實(shí)現(xiàn)數(shù)據(jù)范圍權(quán)限呢?
前端的菜單和按鈕權(quán)限都可以通過(guò)配置來(lái)實(shí)現(xiàn),但很多時(shí)候,后臺(tái)查詢數(shù)據(jù)庫(kù)數(shù)據(jù)的權(quán)限需要通過(guò)手動(dòng)添加SQL來(lái)實(shí)
如何利用MyBatis Plus去實(shí)現(xiàn)數(shù)據(jù)權(quán)限控制呢?
平時(shí)開(kāi)發(fā)中遇到根據(jù)當(dāng)前用戶的角色,只能查看數(shù)據(jù)權(quán)限范圍的數(shù)據(jù)需求。列表實(shí)現(xiàn)方案有兩種,一是在開(kāi)發(fā)初期就做好判斷賽選,但如果這個(gè)需求是中途加的,或不希望每個(gè)接口都加一遍,就可以方案二加攔
mybatis的dao能重載嗎
不同需求的數(shù)據(jù)操作。 重載是指在同一個(gè)類中定義了多個(gè)方法,它們具有相同的名稱但具有不同的參數(shù)。重載允許使用相同的方法名來(lái)處理不同類型和數(shù)量的參數(shù),以提供更加靈活的操作。 在MyBatis的DAO中,我們可以通過(guò)重載方法來(lái)實(shí)現(xiàn)不同
鴻蒙開(kāi)發(fā)組件:DataAbility權(quán)限控制
DataAbility提供數(shù)據(jù)服務(wù),并不是所有的Ability都有權(quán)限讀寫它,DataAbility有一套權(quán)限控制機(jī)制來(lái)保證數(shù)據(jù)安全。分為靜
工商網(wǎng)監(jiān)
評(píng)論