- 前言
- 一、数据权限
- 三、源代码下载
- 四、数据库权限设计图
- 五、数据权限前台界面
- 六、数据权限服务端
- 6.1 aop 拦截“数据范围”
- 6.2 数据实现层ServiceImpl 埋点
- 七、总结
- 7.1设计思路
- 7.2 缺陷
传统管理系统权限通常分为功能型权限和数据权限。 **功能型权限**:通常基于RBAC模式进行设计。RBAC(Role-Based Access Control)基于角色的访问控制。 相当成熟的权限模型。三个要素:用户、角色、权限。用户与角色是多对多关系,角色与权限是多对多关系。 关键元素: 用户(员工):成功认证并登录系统的操作员(主体:who); 权限:访问资源的许可(how); 角色:权限的集合体; 业务系统:每个独立业务系统,包括各业务系统中的菜单、操作按钮等(what) 通过配置用户的角色,角色关联权限(即菜单、操作按钮等资源),实现用户对资源的访问。 **数据权限:**是指对系统用户进行数据资源可见性的控制,通俗的解释就是:符合某条件的用户只能看到该条件 下对应的数据资源。简单的数据权限就是:用户只能看到自己的数据。 如:领导需要看到所有下属员工的客户数据,员工只能看自己的客户数据; 角色A能看到全国的产品数据,角色B只能看到上海的产品数据;
功能权限和数据权限是相互独立.
ACL:访问控制列表( ACL)是附加到对象的权限列表,ACL指定哪些身份被授予对给定对象的哪些操作。在单个域对象上定义特定用户/角色的权限——而不是在典型的每个操作级别上全面定义权限。Spring Security访问控制列表 是一个支持域对象安全的Spring组件。
Spring Security ACL 核心概念和组件
Spring Security ACL 简介
Spring Security ACL 简介
本文章只分析 基于部门资源下数据权限的设计与实现。设计与代码为:若依ruoyi开源架构
三、源代码下载若依源代码
四、数据库权限设计图
1.若依ruoyi数据表间的关联没有创建外键,表与表间的关联性通过业务代码维护。
2.通过图上可知,数据权限分 自定义角色-部门权限、部门数据权限两种:
1) 自定义角色-部门权限:用户-----系统角色部门(sys-role-dept);
2) 部门数据权限:用户-----系统部门(sys-dept);
#sys_role CREATE TABLE `sys_role` ( `role_id` bigint NOT NULL AUTO_INCREMENT COMMENT '角色ID', `role_name` varchar(30) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL COMMENT '角色名称', `data_scope` char(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT '1' COMMENT '数据范围(1:全部数据权限 2:自定数据权限 3:本部门数据权限 4:本部门及以下数据权限 5:本人数据权限)', ...... PRIMARY KEY (`role_id`) USING BTREE ) ENGINE=InnoDB AUTO_INCREMENT=137 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='角色信息表'; #sys_dept CREATE TABLE `sys_dept` ( `dept_id` bigint NOT NULL AUTO_INCREMENT COMMENT '部门id', `parent_id` bigint DEFAULT '0' COMMENT '父部门id', `ancestors` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT '' COMMENT '祖级列表', `dept_name` varchar(30) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT '' COMMENT '部门名称', ........ PRIMARY KEY (`dept_id`) USING BTREE ) ENGINE=InnoDB AUTO_INCREMENT=232 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci COMMENT='部门表';
data_scope:数据范围 1:全部数据权限[即按菜单权限进行资源的过滤]
2:自定数据权限 [可选择指定特殊或其它多部门,进行跨部门数据权限控制,即:
自定义角色-部门权限]
3:本部门数据权限 [用于 方式二:部门数据权限 ]
4:本部门及以下数据权限[sys_dept表ancestors字段存储部门上、下级关联,用于
方式二:部门数据权限]
5:本人数据权限
实现:自定义角色-部门权限:所选多个部门与 某个角色关联,存储于角色-部门中间表sys-role-dept,通过用户的角色查询所有的部门,再进行用户部门的数据过滤。
实现:不涉及 角色-部门中间表sys-role-dept,通过用户、部门以及部门表ancestors字段(存储部门上、下级关系)进行过滤
@Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface DataScope { public String deptAlias() default ""; public String userAlias() default ""; } @Aspect @Component public class DataScopeAspect { public static final String DATA_SCOPE_ALL = "1"; public static final String DATA_SCOPE_CUSTOM = "2"; public static final String DATA_SCOPE_DEPT = "3"; public static final String DATA_SCOPE_DEPT_AND_CHILD = "4"; public static final String DATA_SCOPE_SELF = "5"; public static final String DATA_SCOPE = "dataScope"; @Before("@annotation(controllerDataScope)") public void doBefore(JoinPoint point, DataScope controllerDataScope) throws Throwable { clearDataScope(point); handleDataScope(point, controllerDataScope); } protected void handleDataScope(final JoinPoint joinPoint, DataScope controllerDataScope) { // 获取当前的用户 LoginUser loginUser = SecurityUtils.getLoginUser(); if (StringUtils.isNotNull(loginUser)) { SysUser currentUser = loginUser.getUser(); // 如果是超级管理员,则不过滤数据 if (StringUtils.isNotNull(currentUser) && !currentUser.isAdmin()) { dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(), controllerDataScope.userAlias()); } } } public static void dataScopeFilter(JoinPoint joinPoint, SysUser user, String deptAlias, String userAlias) { StringBuilder sqlString = new StringBuilder(); for (SysRole role : user.getRoles()) { String dataScope = role.getDataScope(); if (DATA_SCOPE_ALL.equals(dataScope)) { sqlString = new StringBuilder(); break; } else if (DATA_SCOPE_CUSTOM.equals(dataScope)) { sqlString.append(StringUtils.format( " OR {}.dept_id IN ( SELECt dept_id FROM sys_role_dept WHERe role_id = {} ) ", deptAlias, role.getRoleId())); } else if (DATA_SCOPE_DEPT.equals(dataScope)) { sqlString.append(StringUtils.format(" OR {}.dept_id = {} ", deptAlias, user.getDeptId())); } else if (DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope)) { sqlString.append(StringUtils.format( " OR {}.dept_id IN ( SELECt dept_id FROM sys_dept WHERe dept_id = {} or find_in_set( {} , ancestors ) )", deptAlias, user.getDeptId(), user.getDeptId())); } else if (DATA_SCOPE_SELF.equals(dataScope)) { if (StringUtils.isNotBlank(userAlias)) { sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId())); } else { // 数据权限为仅本人且没有userAlias别名不查询任何数据 sqlString.append(" OR 1=0 "); } } } if (StringUtils.isNotBlank(sqlString.toString())) { Object params = joinPoint.getArgs()[0]; if (StringUtils.isNotNull(params) && params instanceof BaseEntity) { //向 每个资源对象(如SysUser:必须继承BaseEntity基础实体类)注入请求参数:private Mapparams; BaseEntity baseEntity = (BaseEntity) params; baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")"); } } } ...... }
每个资源对象,如SysUser必须继承BaseEntity基础实体类,如:
//BaseEntity public class BaseEntity implements Serializable { private static final long serialVersionUID = 1L; ....... private Map6.2 数据实现层ServiceImpl 埋点params; } //SysUser public class SysUser extends BaseEntity ....... }
@Override @DataScope(deptAlias = "d", userAlias = "u") public ListselectUserList(SysUser user) { return userMapper.selectUserList(user); }
mybitais 数据层SysUserMapper.xml查询sql:
说明:数据范围过滤 通过BaseEntity类 ${params.dataScope}
七、总结 7.1设计思路1.在需要数据范围类实现方法中埋入切点:@DataScope(deptAlias = “d”, userAlias = “u”)
2.数据过滤处理类DataScopeAspect 切面方式拦截并根据用户数据范围方式
[1:全部数据权限 2:自定数据权限 3:本部门数据权限 4:本部门及以下数
据权限 5:本人数据权限] 进行分类处理
3.生成预查询sql片断,并回写到资源对象请求参数Map
4.执行查询时,mybitais 资源数据层XxxxxMapper.xml预定义对象请求参数params
mybitais 资源数据层XxxxxMapper.xml sql需要并联部门(sys-dept)表