深圳市建设网络有限公司网站,建设局招标网站,wordpress企业主题带后台,wordpress公司官网主题本文主要简述#xff0c;Ruoyi框架使用的权限过滤实现方案#xff0c;实现简单易懂。主要知识点有#xff1a;
注解定义#xff1b;面向切面编程#xff0c;在执行有数据权限注解的方法之前获取用户组织权限#xff0c;拼接到domain对象的params参数中#xff1b;
1. …本文主要简述Ruoyi框架使用的权限过滤实现方案实现简单易懂。主要知识点有
注解定义面向切面编程在执行有数据权限注解的方法之前获取用户组织权限拼接到domain对象的params参数中
1. 注解定义
ruoyi数据权限涉及部门表sys_dept和用户表sys_users表这里仅用来定义sql查询中部门表和用户表的别名。 Target(ElementType.METHOD)
Retention(RetentionPolicy.RUNTIME)
Documented
public interface DataScope
{/*** 部门表的别名*/public String deptAlias() default ;/*** 用户表的别名*/public String userAlias() default ;/*** 权限字符用于多个角色匹配符合要求的权限默认根据权限注解ss获取多个权限用逗号分隔开来*/public String permission() default ;
}2. 注解标记方法拦截后的处理
查看DataScopeAspect.class源码添加类注解Aspect、Component。权限类型共有五种超管全部权限直接跳过权限过滤、全部数据权限、自定数据权限、部门数据权限、部门及以下数据权限、仅本人数据权限。分别对五种权限进行处理。DataScope中定义的表别名用途就在这里 /*** 数据过滤处理** author ruoyi*/
Aspect
Component
public class DataScopeAspect
{/*** 全部数据权限*/public static final String DATA_SCOPE_ALL 1;/*** 自定数据权限*/public static final String DATA_SCOPE_CUSTOM 2;/*** 部门数据权限*/public static final String DATA_SCOPE_DEPT 3;/*** 部门及以下数据权限*/public static final String DATA_SCOPE_DEPT_AND_CHILD 4;/*** 仅本人数据权限*/public static final String DATA_SCOPE_SELF 5;/*** 数据权限过滤关键字*/public static final String DATA_SCOPE dataScope;Before(annotation(controllerDataScope))public void doBefore(JoinPoint point, DataScope controllerDataScope) throws Throwable{clearDataScope(point);handleDataScope(point, controllerDataScope);}protected void handleDataScope(final JoinPoint joinPoint, DataScope controllerDataScope){// 获取当前的用户LoginUser loginUser SecurityUtils.getLoginUser();if (StringUtils.isNotNull(loginUser)){SysUser currentUser loginUser.getUser();// 如果是超级管理员则不过滤数据if (StringUtils.isNotNull(currentUser) !currentUser.isAdmin()){String permission StringUtils.defaultIfEmpty(controllerDataScope.permission(), PermissionContextHolder.getContext());dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(),controllerDataScope.userAlias(), permission);}}}/*** 数据范围过滤** param joinPoint 切点* param user 用户* param deptAlias 部门别名* param userAlias 用户别名* param permission 权限字符*/public static void dataScopeFilter(JoinPoint joinPoint, SysUser user, String deptAlias, String userAlias, String permission){StringBuilder sqlString new StringBuilder();ListString conditions new ArrayListString();for (SysRole role : user.getRoles()){String dataScope role.getDataScope();if (!DATA_SCOPE_CUSTOM.equals(dataScope) conditions.contains(dataScope)){continue;}if (StringUtils.isNotEmpty(permission) StringUtils.isNotEmpty(role.getPermissions()) !StringUtils.containsAny(role.getPermissions(), Convert.toStrArray(permission))){continue;}if (DATA_SCOPE_ALL.equals(dataScope)){sqlString new StringBuilder();conditions.add(dataScope);break;}else if (DATA_SCOPE_CUSTOM.equals(dataScope)){sqlString.append(StringUtils.format( OR {}.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id {} ) , deptAlias,role.getRoleId()));}else if (DATA_SCOPE_DEPT.equals(dataScope)){sqlString.append(StringUtils.format( OR {}.dept_id {} , deptAlias, user.getDeptId()));}else if (DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope)){sqlString.append(StringUtils.format( OR {}.dept_id IN ( SELECT dept_id FROM sys_dept WHERE dept_id {} or find_in_set( {} , ancestors ) ),deptAlias, user.getDeptId(), user.getDeptId()));}else if (DATA_SCOPE_SELF.equals(dataScope)){if (StringUtils.isNotBlank(userAlias)){sqlString.append(StringUtils.format( OR {}.user_id {} , userAlias, user.getUserId()));}else{// 数据权限为仅本人且没有userAlias别名不查询任何数据sqlString.append(StringUtils.format( OR {}.dept_id 0 , deptAlias));}}conditions.add(dataScope);}// 多角色情况下所有角色都不包含传递过来的权限字符这个时候sqlString也会为空所以要限制一下,不查询任何数据if (StringUtils.isEmpty(conditions)){sqlString.append(StringUtils.format( OR {}.dept_id 0 , deptAlias));}if (StringUtils.isNotBlank(sqlString.toString())){Object params joinPoint.getArgs()[0];if (StringUtils.isNotNull(params) params instanceof BaseEntity){BaseEntity baseEntity (BaseEntity) params;baseEntity.getParams().put(DATA_SCOPE, AND ( sqlString.substring(4) ));}}}/*** 拼接权限sql前先清空params.dataScope参数防止注入*/private void clearDataScope(final JoinPoint joinPoint){Object params joinPoint.getArgs()[0];if (StringUtils.isNotNull(params) params instanceof BaseEntity){BaseEntity baseEntity (BaseEntity) params;baseEntity.getParams().put(DATA_SCOPE, );}}
}在dataScopeFilter 方法最后的if方法块中通过向baseEntity中设置dataScope参数将权限过滤条件放到了查询条件中。
3. 分配数据权限
建立角色后给角色分配数据权限再给用户分配一个或多个角色这样用户即可获取有权限的组织id。这里的问题即是只有支持组织权限而且组织权限不能应用在不同场景下。 数据权限分配截图
4. 权限应用
在要添加权限的方法体上添加注解并指定部门或人员表别名且第一个参数是BaseEntity.class类的子类这样才能设置dataScope查询参数。 DataScope(deptAlias d)public ListSysDept selectDeptList(SysDept dept){return deptMapper.selectDeptList(dept);}sql中添加 ${dataScope}。
select idselectAllocatedList parameterTypeSysUser resultMapSysUserResultselect distinct u.user_id, u.dept_id, u.user_name, u.nick_name, u.email, u.phonenumber, u.status, u.create_timefrom sys_user uleft join sys_dept d on u.dept_id d.dept_idleft join sys_user_role ur on u.user_id ur.user_idleft join sys_role r on r.role_id ur.role_idwhere u.del_flag 0 and r.role_id #{roleId}if testuserName ! null and userName ! AND u.user_name like concat(%, #{userName}, %)/ifif testphonenumber ! null and phonenumber ! AND u.phonenumber like concat(%, #{phonenumber}, %)/if!-- 数据范围过滤 --${params.dataScope}/select总结 1. 逻辑简单代码实现简洁易懂 2. 如果还有其他表要控制权限也可以参考该实现方法定义注解和拦截实现权限过滤 3. 当不同场景都要按组织授权那么目前Ruoyi的实现不能支持通过第2个办法按场景定义不同权限注解那还需要实现前端配置功能和相关权限查询功能还是复杂
对于企业管理类软件通常权限控制不止组织很可能会按其他业务类型控制权限那如何通过一次编码而且实用于所有业务场景呢这种系统有以下需求 1. 通过配置动态指定权限表数据库表或自定义数据类型可使程序员更关注业务逻辑减少代码量 2. 而不侵入SQL代码仅在方法体上指定相关权限控制编码可指定表名或字段名减少对业务侵入 3. 有多种场景都是按组织分配权限但不同场景的权限是不一样的在使用时不能受影响 4. 应用多样化可通过方法注释指定使用的权限类型也可通过前端传参指定权限类型或者传参指定所有权限。
