数据权限管理中心
由于公司大部分项目都是使用mybatis,也是使用mybatis的拦截器进行分页处理,所以技术上也直接选择从拦截器入手
需求场景
第一种场景:行级数据处理
原sql:
selectid,username,regionfromsys_user ;
需要封装成:
select*from(selectid,username,regionfromsys_user )where1=1andregionlike“3210%";
解释
用户只能查询当前所属市以及下属地市数据 其中 like 部分也可以为动态参数(下面会讲到)
此场景还有以下情况:
# 判断select*from(selectid,username,regionfromsys_user )where1=1and region !=320101;# 枚举select*from(selectid,username,regionfromsys_user )where1=1and regionin(320101,320102,320103);...
第二种场景:列级数据处理
原sql:
selectid,username,regionfromsys_user ;
用户A可以看到 id,username,region
用户B只能查看 id,username 的值,region的值没有权限查看。
应用流程图
应用链路逻辑图
技术实现
mybatis拦截器
在编写mybatis的拦截器之前,我们先来了解下mybaits的拦截目标方法
1、Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)
2、ParameterHandler (getParameterObject, setParameters)
3、StatementHandler (prepare, parameterize, batch, update, query)
4、ResultSetHandler (handleResultSets, handleOutputParameters)
这里选择StatementHandler 的 prepare 方法作为sql执行之前的拦截进行sql封装,使用ResultSetHandler 的handleResultSets 方法作为sql执行之后的结果拦截过滤。
sql执行前
PrepareInterceptor.java
/** * mybatis数据权限拦截器 - prepare *@authorGaoYuan *@date2018/4/17 上午9:52 */@Intercepts({@Signature(type = StatementHandler.class, method ="prepare", args = { Connection.class,Integer.class })})@ComponentpublicclassPrepareInterceptorimplementsInterceptor{/** 日志 */privatestaticfinalLogger log = LoggerFactory.getLogger(PrepareInterceptor.class);@OverridepublicObjectplugin(Object target){returnPlugin.wrap(target,this); }@OverridepublicvoidsetProperties(Properties properties){}@OverridepublicObjectintercept(Invocation invocation)throwsThrowable{if(log.isInfoEnabled()){ log.info("进入 PrepareInterceptor 拦截器..."); }if(invocation.getTarget()instanceofRoutingStatementHandler) { RoutingStatementHandler handler = (RoutingStatementHandler) invocation.getTarget(); StatementHandler delegate = (StatementHandler) ReflectUtil.getFieldValue(handler,"delegate");//通过反射获取delegate父类BaseStatementHandler的mappedStatement属性MappedStatement mappedStatement = (MappedStatement) ReflectUtil.getFieldValue(delegate,"mappedStatement");//千万不能用下面注释的这个方法,会造成对象丢失,以致转换失败//MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0];PermissionAop permissionAop = PermissionUtils.getPermissionByDelegate(mappedStatement);if(permissionAop ==null){if(log.isInfoEnabled()){ log.info("数据权限放行..."); }returninvocation.proceed(); }if(log.isInfoEnabled()){ log.info("数据权限处理【拼接SQL】..."); } BoundSql boundSql = delegate.getBoundSql(); ReflectUtil.setFieldValue(boundSql,"sql", permissionSql(boundSql.getSql())); }returninvocation.proceed(); }/** * 权限sql包装 *@authorGaoYuan *@date2018/4/17 上午9:51 */protectedStringpermissionSql(String sql){ StringBuilder sbSql =newStringBuilder(sql); String userMethodPath = PermissionConfig.getConfig("permission.client.userid.method");//当前登录人String userId = (String)ReflectUtil.reflectByPath(userMethodPath);//如果用户为 1 则只能查询第一条if("1".equals(userId)){//sbSql = sbSql.append(" limit 1 ");//如果有动态参数 regionCdif(true){ String premission_param ="regionCd";//select * from (select id,name,region_cd from sys_exam ) where region_cd like '${}%'String methodPath = PermissionConfig.getConfig("permission.client.params."+ premission_param); String regionCd = (String)ReflectUtil.reflectByPath(methodPath); sbSql =newStringBuilder("select * from (").append(sbSql).append(" ) s where s.regionCd like concat("+ regionCd +",'%') "); } }returnsbSql.toString(); }}
sql执行后
ResultInterceptor.java
/** * mybatis数据权限拦截器 - handleResultSets * 对结果集进行过滤 *@authorGaoYuan *@date2018/4/17 上午9:52 */@Intercepts({@Signature(type = ResultSetHandler.class, method ="handleResultSets", args={Statement.class})})@ComponentpublicclassResultInterceptorimplementsInterceptor{/** 日志 */privatestaticfinalLogger log = LoggerFactory.getLogger(ResultInterceptor.class);@OverridepublicObjectplugin(Object target){returnPlugin.wrap(target,this); }@OverridepublicvoidsetProperties(Properties properties){}@OverridepublicObjectintercept(Invocation invocation)throwsThrowable{if(log.isInfoEnabled()){ log.info("进入 ResultInterceptor 拦截器..."); } ResultSetHandler resultSetHandler1 = (ResultSetHandler) invocation.getTarget();//通过java反射获得mappedStatement属性值//可以获得mybatis里的resultypeMappedStatement mappedStatement = (MappedStatement)ReflectUtil.getFieldValue(resultSetHandler1,"mappedStatement");//获取切面对象PermissionAop permissionAop = PermissionUtils.getPermissionByDelegate(mappedStatement);//执行请求方法,并将所得结果保存到result中Object result = invocation.proceed();if(permissionAop !=null) {if(resultinstanceofArrayList) { ArrayList resultList = (ArrayList) result;for(inti =0; i < resultList.size(); i++) { Object oi = resultList.get(i); Class c = oi.getClass(); Class[] types = {String.class}; Method method = c.getMethod("setRegionCd", types);// 调用obj对象的 method 方法method.invoke(oi,"");if(log.isInfoEnabled()){ log.info("数据权限处理【过滤结果】..."); } } } }returnresult; }}
其中 PermissionAop 为 dao 层自定义切面,用于开关控制是否启用数据权限过滤。
难点
如何在拦截器获取dao层注解内容;
如何获取当前登录人标识;
如何传递动态参数;
需要考虑到与sql分页的优先级。
解答
拦截器获取dao层注解
不同方法的拦截器获取方法稍微有所区别,具体在上面的 PrepareInterceptor.java 与 ResultInterceptor.java 代码中自行查看。
获取当前登录人标识
由于不同框架或者不同项目,获取当天登录人的方法可能不一样,那么就只能通过配置的方式动态将获取当前登录人的方法传递给权限中心。 配置文件中添加:
# 客户端获取当前登录人标识permission.client.userid.method=com.raising.sc.permission.example.util.UserUtils.getUserId
然后利用Java反射机制,触发getUserId( )方法。
传递动态参数
比如用户A只能查询自己单位以及下属单位的所有数据; 配置中心配置的where部分的sql如下:
org_cdlike concat(${orgCd},'%')
然后通过PrepareInterceptor.java读取到以上sql,并且通过数据库或者配置文件中设置的参数【orgCd】相关联的方法(类似获取当前登录人标识的方式),提前在权限参数(orgCd)配置好对应的方法路径、参数值类型、返回值类型等。
配置文件或者数据库获取到 orgCd 对应的方法路径:
com.raising.sc.permission.example.util.UserUtils.getRegionCdByUserId
当然,现在这样只是简单的动态参数,其余的还需要后续的开发,这里只是最简单的尝试。
拓展
从产品的角度来说,此模块需要有三个部分组成:
1、foruo-permission-admin 数据权限管理平台
2、foruo-permission-server 数据权限服务端(提供权限相关接口)
3、foruo-permission-client 数据权限客户端(封装API)
在结合 应用链路逻辑图 即可完成此模块内容。
涉及知识点:
Mybatis拦截器
Java反射机制
项目源码