通过mybatis插件实现简易数据权限

1.mybatis自定义插件

一说到mybatis插件,都会想到mybatis的分页插件。的确现在开发中用mybatis的话,一般都会用到它。它能在我们的sql语句后面添加分页查询条件,达到分页查询的效果。

①配置

由于mybatis是基于xml插件配置的所以,我们要在xml中配置自己的插件


     //自定义插件的全类名


②接口的拦截

先看看一张图 ,mybatis主要提供了下面4个接口支持拦截 通过mybatis插件实现简易数据权限_第1张图片
编写DataScopeInterceptor(需要实现Interceptor接口)

@Intercepts({@Signature(type = StatementHandler.class, method = "prepare", args = {Connection.class, Integer.class})})
public class DataScopeInterceptor implements Interceptor {
    // 这里是每次执行操作的时候,都会进行这个拦截器的方法内
    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        //TODO:自已的业务处理
        return invocation.proceed();
    }
    // 主要是为了把这个拦截器生成一个代理放到拦截器链中
    @Override
    public Object plugin(Object o) {

        return Plugin.wrap(o, this);
    }

    // 插件初始化的时候调用,也只调用一次,插件配置的属性从这里设置进来
    @Override
    public void setProperties(Properties properties) {

    }
}

看看这个注解

@Signature(
    type = StatementHandler.class, //这是指拦截哪个接口
    method = "prepare", //这个是拦截接口中的什么方法,可以在StatementHandler中找到此方法
    args = {Connection.class, Integer.class}//拦截方法的参数列表)

下面我们启动项目,执行sql查询的时候会进入到我们的插件中。现在算是自己定义好了一个空的插件了。

ps:mybatis可以同时定义多个插件,这些插件采用责任链模式,通过代理对象一个一个调用下一个插件,进行执行。

2.数据权限(仅以查询为例)

项目开发中,大多项目都有权限相关的考虑,说到权限,大体分为两类,数据权限与功能权限。数据权限一般是针对不同的角色或者用户,查询到不同的数据,对同一数据表或者数据源的不同条件筛选。而功能权限更多是对功能菜单的访问权限。在不同项目中,权限设计也不同,跟系统业务,架构设计息息相关,做好权限,是非常困难的。我这里仅仅是对数据权限的一个模拟。不涉及具体实现。(这块本来就没有同一的处理方案)。

①授权的分类

我这里将数据权限分为两个类别,明细授权,条件授权
明细授权:对一个表数据,通过id进行授权,比如有个商品表,可以把指定商品的id授权给指定用户或角色,达到该用户或角色可以查询到这一个指定商品。

select * from product where id = 1

条件授权:可以通过指定范围查询条件为某一用户或角色进行授权

select * from product where name like '%iphone%'

上面的两个sql很明显的表现了这两种授权方式的区别与联系。我们不免会想,明细授权也可以用条件授权来实现,达到相同的效果,的确是这样,我们这里仅仅说明两天不同的授权方式,其实在真实的环境中,可能还会有其他的授权形式。

上面我们通过对mybatis插件的自定义,我们就可以对sql进行处理了。所以,数据权限无非就是在自定义插件中获取到sql。在sql语句后面拼接不同的过滤条件来达到数据过滤。真实业务场景更为复杂。很多时候,不仅仅是拼接这么简单。对sql的处理也是一件废功夫的事情。下面看具体实现

②不同授权类型实现

数据权限接口,这里只写了一个getsql的方法定义,参数为原始sql,返回值为经过处理后的sql

public interface DataScopeInterface {

    /**
     * 获取sql
     * @return
     */
    String getSql(String sql);

}

DataScopeInterface有两个不同的实现类,明细与条件

@Component("grantDataScope")
@Slf4j
public class GrantDataScope implements DataScopeInterface {
    //明细授权实现
    @Override
    public String getSql(String sql) {
        //这里是获取当前登录用户的id,我定义了一个登录拦截器,通过ThreadLocal保存当前登录的用户。代码就不写出来了。比较简单
        String userId = LoginHandlerInterceptor.userLoginThreadLocal.get();
        //这里模拟用户id为1的用户在查询语句后面拼接id为1的过滤条件
        if("1".equals(userId)){
            if(sql.toLowerCase().contains("where")){
                sql += " and id=1";
            }else {
                sql += " where id = 1";
            }
        }
        log.info("grant "+ sql);
        return sql;
    }
}

条件授权

@Component("ruleDataScope")
@Slf4j
public class RuleDataScope implements DataScopeInterface {
    // 条件授权实现
    public String getSql(String sql) {
        String userId = LoginHandlerInterceptor.userLoginThreadLocal.get();
        //模拟用户为id为2的用户加name中有ipone的数据
        if("2".equals(userId)){
            if(sql.toLowerCase().contains("where")){
                sql += " and name like '%iphone%'";
            }else {
                sql += " where name like '%iphone%'";
            }
        }
        log.info("rule: "+ sql);
        return sql;
    }
}

③插件逻辑实现

下面在自定义插件中编写业务具体实现逻辑。由于我们不同的授权类型都是交给spring管理的bean,我们可以借此通过策略模式来实现授权规则的可扩展性。有不同的授权规则只需要实现DataScopeInterface接口即可。

public Object intercept(Invocation invocation) throws Throwable {
        StatementHandler statementHandler = (StatementHandler) invocation.getTarget();
        MetaObject metaStatementHandler = SystemMetaObject.forObject(statementHandler);
        String userName = LoginHandlerInterceptor.userLoginThreadLocal.get();
        //  sql语句类型
        Object sqlCommandType = metaStatementHandler.getValue("delegate.mappedStatement.sqlCommandType");
        //只考虑了查询
        if (SqlCommandType.SELECT.equals(sqlCommandType)) {
            //获取sql
            String sql = String.valueOf(metaStatementHandler.getValue("delegate.boundSql.sql"));
            //获取DataScopeInterface的实现类集合,并循环执行sql的格式化
            Map dataScopeInterfaceMap = SpringContextUtils.getBeanOfType(DataScopeInterface.class);
            Collection dataScopeInterfaces = dataScopeInterfaceMap.values();
            for (DataScopeInterface dataScopeInterface : dataScopeInterfaces) {
                sql = dataScopeInterface.getSql(sql);
            }
            log.info("sql --> " + sql);
            //重新设置sql
            metaStatementHandler.setValue("delegate.boundSql.sql", sql);
        }
        return invocation.proceed();
}

⑤验证

启动项目,模拟用户id为1的用户登录,返回了一条记录,达到了过滤的效果。

2019-08-24 14:07:05,496 DEBUG (BaseJdbcLogger.java:145)- ==>  Preparing: select * from product where id = 1 
2019-08-24 14:07:05,496 DEBUG (BaseJdbcLogger.java:145)- ==> Parameters: 
2019-08-24 14:07:05,498 DEBUG (BaseJdbcLogger.java:145)- <==      Total: 1

同理,模拟用户id为2的用户登录。返回两条记录

2019-08-24 14:09:59,006 DEBUG (BaseJdbcLogger.java:145)- ==>  Preparing: select * from product where where name like '%iphone%' 
2019-08-24 14:09:59,017 DEBUG (BaseJdbcLogger.java:145)- ==> Parameters: 
2019-08-24 14:09:59,020 DEBUG (BaseJdbcLogger.java:145)- <==      Total: 2

⑥真实业务场景下的考虑的问题

大概的简易数据权限就这样了,下面多谈谈在真实业务场景下的一些情况:
1,不同的授权类型都是在数据库中进行维护,在不同的实现中,读取数据库的权限配置信息,进而封装sql
2,存在多表关联的时候,或非驱动表控制了数据权限,驱动表没有控制,根据不同的业务场景具体分析,对sql的处理也就更加困难了。
3,在分布式中存在跨系统问题的数据权限控制。得看情况,做方案。

3.结语

本篇主要是从mybatis自定义插件为切入点,进而谈到数据权限的控制,仅仅是小试牛刀。发现学习不在于学多,追捧新技术,而是要学会举一反三,很多东西原理是相通的。在工作中遇到问题的时候,要有发散思维。

转载于:https://my.oschina.net/u/3553496/blog/3097069

你可能感兴趣的:(通过mybatis插件实现简易数据权限)