数据权限拦截器,多租户拦截器

一、背景介绍

WEB类型软件产品,在Java(SpringBoot)+MybatisPlus架构场景下,本文针对下面两个问题,提供解决方案:

  • 多租户的产品,想在表内级别上,实现租户数据隔离(分表、分库方案不在本文讨论范围内)。
  • ToB、ToG类型的软件产品,需要实现数据权限鉴权。例如用户数据、部门数据、租户数据等不同级别的鉴权。

Demo源码仓库: java-test: java练习Demo项目 - Gitee.com

二、MybatisPlus插件

MyBatis-Plus官网

MyBatis-Plus插件

目前MybatisPlus官方文档中已有的插件功能:

  • 自动分页: PaginationInnerInterceptor
  • 多租户: TenantLineInnerInterceptor
  • 动态表名: DynamicTableNameInnerInterceptor
  • 乐观锁: OptimisticLockerInnerInterceptor
  • sql 性能规范: IllegalSQLInnerInterceptor
  • 防止全表更新与删除: BlockAttackInnerInterceptor

各种插件的使用方法,网上资料也比较多,大家可自行百度。

另外,在MybatisPlus 3.x及以后的版本里,我们可以从源码里找到DataPermissionInterceptor数据权限处理器插件,虽然截止本文编写时(20230117),官网文档中还没有此插件的说明,但已经能百度到DataPermissionInterceptor拦截器的一些使用案例了。

个人感觉相比多租户拦截器TenantLineInnerInterceptor的用法,官方提供的数据权限拦截器DataPermissionInterceptor使用起来还是过于复杂,而且针对CRUD操作的鉴权功能也不够强大,因此参考多租户拦截器的实现原理,对数据权限拦截器进行了改造,后续有空了会将改造后的代码推荐给官方,看是否可以被采纳。见Demo源码仓库。

MybatisPlus的maven依赖:


    
        com.baomidou
        mybatis-plus-boot-starter
        
        3.5.3.1
    
    
        mysql
        mysql-connector-java
        8.0.29
    
    
        org.springframework.boot
        spring-boot-starter-web
        2.3.4.RELEASE
    

本文后续的例子中,所用的数据库结构:

/*
 Navicat Premium Data Transfer

 Source Server         : mysql8
 Source Server Type    : MySQL
 Source Server Version : 80027
 Source Host           : localhost:3306
 Source Schema         : wsp-test

 Target Server Type    : MySQL
 Target Server Version : 80027
 File Encoding         : 65001

 Date: 17/01/2023 16:26:17
*/

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for wsp_org
-- ----------------------------
DROP TABLE IF EXISTS `wsp_org`;
CREATE TABLE `wsp_org`  (
  `id` bigint UNSIGNED NOT NULL AUTO_INCREMENT COMMENT '主键ID',
  `create_time` timestamp NOT NULL COMMENT '创建时间',
  `update_time` timestamp NOT NULL COMMENT '更新时间',
  `org_name` varchar(300) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '部门名称',
  `org_address` varchar(300) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '部门地址',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci COMMENT = '部门表' ROW_FORMAT = Dynamic;

-- ----------------------------
-- Table structure for wsp_role
-- ----------------------------
DROP TABLE IF EXISTS `wsp_role`;
CREATE TABLE `wsp_role`  (
  `id` bigint UNSIGNED NOT NULL AUTO_INCREMENT COMMENT '主键ID',
  `create_time` timestamp NOT NULL COMMENT '创建时间',
  `update_time` timestamp NOT NULL COMMENT '更新时间',
  `tenant_id` bigint NULL DEFAULT NULL COMMENT '租户id',
  `role_name` varchar(300) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '角色名称',
  `role_code` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '角色编码',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci COMMENT = '角色表' ROW_FORMAT = Dynamic;

-- ----------------------------
-- Table structure for wsp_user
-- ----------------------------
DROP TABLE IF EXISTS `wsp_user`;
CREATE TABLE `wsp_user`  (
  `id` bigint unsigned NOT NULL AUTO_INCREMENT COMMENT '主键ID',
  `create_time` timestamp NOT NULL COMMENT '创建时间',
  `create_by` bigint unsigned NOT NULL COMMENT '创建人',
  `update_time` timestamp NOT NULL COMMENT '更新时间',
  `tenant_id` bigint NOT NULL COMMENT '租户id',
  `org_id` bigint NOT NULL COMMENT '部门id',
  `role_id` bigint NOT NULL COMMENT '角色id',
  `name` varchar(300) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '姓名',
  `age` int unsigned NOT NULL DEFAULT '0' COMMENT '年龄',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci COMMENT = '用户表' ROW_FORMAT = Dynamic;

SET FOREIGN_KEY_CHECKS = 1;

三、基于MybatisPlus的多租户插件

1、开发步骤

TenantLineInnerInterceptor是MybatisPlus中提供的多租户插件,其使用方法大致分为下面三步:

步骤一、设置环境变量,配置拦截规则

对夸租户的表设置白名单,忽略多租户拦截,这些配置可以放到配置文件中进行环境配置,例如:

tenant:
  enable: true
  column: tenant_id
  filterTables:
  ignoreTables:
    - wsp_org
  ignoreLoginNames:

例如wsp_org表结构中,没有tenant_id多租户字段,那么多租户拦截器不拦截该表。

import org.springframework.boot.context.properties.ConfigurationProperties;
import java.util.List;

/**
 * 多租户配置类
 *
 * @author [email protected]
 * @Date 2023-01-11
 */
@Getter
@Setter
@ConfigurationProperties(prefix = "tenant")
public class TenantProperties {
    /**
     * 是否开启多租户
     */
    private Boolean enable = true;

    /**
     * 租户id字段名
     */
    private String column = "tenant_id";

    /**
     * 需要进行租户id过滤的表名集合
     */
    private List filterTables;

    /**
     * 需要忽略的多租户的表,此配置优先filterTables,若此配置为空则启用filterTables
     */
    private List ignoreTables;

    /**
     * 需要排除租户过滤的登录用户名
     */
    private List ignoreLoginNames;
}

步骤二、实现TenantLineHandler接口

实现TenantLineHandler接口

import com.baomidou.mybatisplus.extension.plugins.handler.TenantLineHandler;
import com.sky.wsp.mybatis.plus.utils.SecurityContextHolder;
import com.sky.wsp.mybatis.plus.config.properties.TenantProperties;
import net.sf.jsqlparser.expression.Expression;
import net.sf.jsqlparser.expression.LongValue;

import java.util.List;

/**
 * 多租户处理类
 *
 * @author [email protected]
 * @Date 2023-01-11
 */
public class MultiTenantHandler implements TenantLineHandler {

    private final TenantProperties properties;

    public MultiTenantHandler(TenantProperties properties) {
        this.properties = properties;
    }

    /**
     * 获取租户 ID 值表达式,只支持单个 ID 值
     * 

* * @return 租户 ID 值表达式 */ @Override public Expression getTenantId() { Long tenantId = SecurityContextHolder.getTenantId(); return new LongValue(tenantId); } /** * 获取租户字段名 *

* 默认字段名叫: tenant_id * * @return 租户字段名 */ @Override public String getTenantIdColumn() { return properties.getColumn(); } /** * 根据表名判断是否忽略拼接多租户条件 *

* 默认都要进行解析并拼接多租户条件 * * @param tableName 表名 * @return 是否忽略, true:表示忽略,false:需要解析并拼接多租户条件 */ @Override public boolean ignoreTable(String tableName) { //忽略指定用户对租户的数据过滤 List ignoreLoginNames=properties.getIgnoreLoginNames(); String loginName=SecurityContextHolder.getUsername(); if(null!=ignoreLoginNames && ignoreLoginNames.contains(loginName)){ return true; } //忽略指定表对租户数据的过滤 List ignoreTables = properties.getIgnoreTables(); if (null != ignoreTables && ignoreTables.contains(tableName)) { return true; } return false; } }

步骤三、启用TenantLineInnerInterceptor多租户拦截器

import com.baomidou.mybatisplus.annotation.DbType;
import com.baomidou.mybatisplus.core.handlers.MetaObjectHandler;
import com.baomidou.mybatisplus.extension.plugins.MybatisPlusInterceptor;
import com.baomidou.mybatisplus.extension.plugins.inner.TenantLineInnerInterceptor;
import com.sky.wsp.mybatis.plus.config.properties.TenantProperties;
import com.sky.wsp.mybatis.plus.handler.DBMetaObjectHandler;
import com.sky.wsp.mybatis.plus.handler.MultiTenantHandler;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * MybatisPlus配置类
 *
 * @author [email protected]
 * @Date 2023-01-11
 */
@Configuration(proxyBeanMethods = false)
@EnableConfigurationProperties({
        TenantProperties.class,
        DataPermissionProperties.class
})
public class MybatisPlusConfig {

    /**
     * 单页分页条数限制(默认无限制,参见 插件#handlerLimit 方法)
     */
    private static final Long MAX_LIMIT = 1000L;

    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor(TenantProperties tenantProperties) {
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        if (Boolean.TRUE.equals(tenantProperties.getEnable())) {
            // 启用多租户拦截
            interceptor.addInnerInterceptor(new TenantLineInnerInterceptor(new MultiTenantHandler(tenantProperties)));
        }
        return interceptor;
    }

    @Bean
    @ConditionalOnMissingBean
    public MetaObjectHandler metaObjectHandler() {
        return new DBMetaObjectHandler();
    }

}

2、执行结果

针对MybatisPlus提供的API、自定义Mapper中的statement(不清楚statement概念的同学可自行百度)我都进行了测试,均可正常拦截,下面附上一些拦截前后SQL对比的例子:

例1:使用MybatisPlus的insert方法,添加数据时会自动初始化tenant_id列

处理前 处理后
INSERT INTO wsp_user (
create_time,
create_by,
update_time,
org_id,
role_id,
NAME,
age
)
VALUES
(
?,
?,
?,
?,
?,
?,
?
)
INSERT INTO wsp_user (
create_time,
create_by,
update_time,
org_id,
role_id,
NAME,
age,
tenant_id
)
VALUES
(?,
?,
?,
?,
?,
?,
?,
1)

例2:使用MybatisPlus的insert方法,添加数据时会自动初始化tenant_id列

处理前 处理后
SELECT
id,
create_time,
update_time,
tenant_id,
org_id,
role_id,
NAME,
age
FROM
wsp_user
WHERE
id =?
SELECT
id,
create_time,
update_time,
tenant_id,
org_id,
role_id,
NAME,
age
FROM
wsp_user
WHERE
id = ?
AND tenant_id = 1

例3:使用自定义Mapper的statement方法

处理前 处理后
SELECT
id,
create_time,
update_time,
tenant_id,
org_id,
NAME,
age
FROM
wsp_user AS USER
WHERE
USER.id = ?
SELECT
id,
create_time,
update_time,
tenant_id,
org_id,
NAME,
age
FROM
wsp_user AS USER
WHERE
USER.id = ?
AND USER.tenant_id = 1

例4:使用自定义Mapper的statement方法,进行多表关联查询

处理前 处理后
SELECT USER
.tenant_id,
USER.org_id,
org.org_name,
org.org_address,
USER.role_id,
role.role_name,
role.role_code,
USER.id AS user_id,
USER.NAME AS user_name,
USER.age AS user_age
FROM
wsp_user
AS USER LEFT JOIN wsp_org AS org ON USER.org_id = org.id
LEFT JOIN wsp_role AS role ON USER.role_id = role.id
WHERE
USER.id = ?
SELECT USER
.tenant_id,
USER.org_id,
org.org_name,
org.org_address,
USER.role_id,
role.role_name,
role.role_code,
USER.id AS user_id,
USER.NAME AS user_name,
USER.age AS user_age
FROM
wsp_user
AS USER LEFT JOIN wsp_org AS org ON USER.org_id = org.id
LEFT JOIN wsp_role AS role ON USER.role_id = role.id
AND role.tenant_id = 1
WHERE
USER.id = ?
AND USER.tenant_id = 1

四、基于MybatisPlus实现自定义数据权限插件

由于官方提供的数据权限拦截器DataPermissionInterceptor,只能自己拼装SQL来实现数据鉴权,拼装SQL操作比较困难,因此参考多租户拦截器,对数据权限拦截器进行了改造,简化了使用难度,见Demo源码仓库:

  • 支持自定义数据权限标记列,即使用表的哪个列进行数据权限过滤
  • 支持自定义表白名单、账号白名单
  • 数据权限包括:是否是创建者、是否有部门数据权限
  • select查询时,自动补充数据权限过滤条件
  • insert添加时,自动校验插入数据的部门外键,是否在当前登录人的操作权限范围内
  • update更新时,自动校验更新数据的部门外键,是否在当前登录人的操作权限范围内
  • delete删除时,自动补充数据权限过滤条件

注意:数据权限的id外键,在新建数据时,是无法通过拦截器进行初始化的,因为一个账号的数据权限,通常会包含多个部门,那新建数据时,到底是属于哪个部门下的数据,不好判断,因此由用户自己(开发人员)在业务代码中对数据权限id进行初始化。

1、开发步骤

类似多租户插件,数据权限插件使用方法也大致分为下面三步:

步骤一、设置环境变量,配置拦截规则

对夸部门共享的表设置白名单,忽略多数据权限拦截,这些配置可以放到配置文件中进行环境配置,例如:

data:
  permission:
    enable: true
    # 创建人的标记列
    dataCreatorColumn: create_by
    # 部门数据权限的标记列
    dataPermissionIdColumn: org_id
    filterTables:
    ignoreTables:
      # 不进行数据鉴权拦截的表
      - wsp_org
      - wsp_role
    ignoreLoginNames:

例如wsp_org、wsp_role表结构中,没有org_id部门外键,那么数据权限拦截器不拦截该表。

import org.springframework.boot.context.properties.ConfigurationProperties;

import java.util.List;


/**
 * 数据权限配置类
 *
 * @author [email protected]
 * @Date 2023-01-11
 */
@Getter
@Setter
@ConfigurationProperties(prefix = "data.permission")
public class DataPermissionProperties {
    /**
     * 是否开启数据权限拦截
     */
    private Boolean enable = true;

    /**
     * 数据创建人字段名
     */
    private String dataCreatorColumn = "creator";

    /**
     * 数据权限id字段名
     */
    private String dataPermissionIdColumn = "permission_id";

    /**
     * 需要进行数据权限id过滤的表名集合
     */
    private List filterTables;

    /**
     * 需要忽略的多数据权限的表,此配置优先filterTables,若此配置为空则启用filterTables
     */
    private List ignoreTables;

    /**
     * 需要排除数据权限过滤的登录用户名
     */
    private List ignoreLoginNames;
}

步骤二、实现MyDataPermissionHandler接口

实现MyDataPermissionHandler接口,(这个接口也是参考多租户的接口新建的)

import com.sky.wsp.mybatis.plus.config.properties.DataPermissionProperties;
import com.sky.wsp.mybatis.plus.plugins.handler.MyDataPermissionHandler;
import com.sky.wsp.mybatis.plus.utils.SecurityContextHolder;

import java.util.List;

/**
 * 基于用户组织机构(Org)的数据权限处理类
 *
 * @author [email protected]
 * @Date 2023-01-11
 */
public class OrgDataPermissionHandler implements MyDataPermissionHandler {

    private final DataPermissionProperties properties;

    public OrgDataPermissionHandler(DataPermissionProperties properties) {
        this.properties = properties;
    }

    @Override
    public Long getDataCreator() {
        // user_id作为creator
        return SecurityContextHolder.getUserId();
    }

    @Override
    public String getDataCreatorColumn() {
        // user_id作为creator
        return properties.getDataCreatorColumn();
    }

    @Override
    public List getDataPermissionIdSet() {
        // org_id作为数据权限
        return SecurityContextHolder.getOrgIds();
    }

    @Override
    public String getDataPermissionIdColumn() {
        // org_id作为数据权限
        return properties.getDataPermissionIdColumn();
    }

    @Override
    public boolean ignoreTable(String tableName) {

        //忽略指定用户对数据权限的过滤
        List ignoreLoginNames=properties.getIgnoreLoginNames();
        String loginName=SecurityContextHolder.getUsername();
        if(null!=ignoreLoginNames && ignoreLoginNames.contains(loginName)){
            return true;
        }

        //忽略指定表对数据权限的过滤
        List ignoreTables = properties.getIgnoreTables();
        if (null != ignoreTables && ignoreTables.contains(tableName)) {
            return true;
        }
        return false;
    }
}

步骤三、启用MyDataPermissionInterceptor多租户拦截器

MyDataPermissionInterceptor就是参考多租户拦截器实现的数据权限拦截器,核心逻辑都在这个类里。

import com.baomidou.mybatisplus.annotation.DbType;
import com.baomidou.mybatisplus.core.handlers.MetaObjectHandler;
import com.baomidou.mybatisplus.extension.plugins.MybatisPlusInterceptor;
import com.baomidou.mybatisplus.extension.plugins.inner.OptimisticLockerInnerInterceptor;
import com.baomidou.mybatisplus.extension.plugins.inner.PaginationInnerInterceptor;
import com.baomidou.mybatisplus.extension.plugins.inner.TenantLineInnerInterceptor;
import com.sky.wsp.mybatis.plus.config.properties.DataPermissionProperties;
import com.sky.wsp.mybatis.plus.config.properties.TenantProperties;
import com.sky.wsp.mybatis.plus.handler.DBMetaObjectHandler;
import com.sky.wsp.mybatis.plus.handler.MultiTenantHandler;
import com.sky.wsp.mybatis.plus.handler.OrgDataPermissionHandler;
import com.sky.wsp.mybatis.plus.plugins.inner.MyDataPermissionInterceptor;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * MybatisPlus配置类
 *
 * @author [email protected]
 * @Date 2023-01-11
 */
@Configuration(proxyBeanMethods = false)
@EnableConfigurationProperties({
        TenantProperties.class,
        DataPermissionProperties.class
})
public class MybatisPlusConfig {

    /**
     * 单页分页条数限制(默认无限制,参见 插件#handlerLimit 方法)
     */
    private static final Long MAX_LIMIT = 1000L;

    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor(TenantProperties tenantProperties, DataPermissionProperties dataPermissionProperties) {
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        if (Boolean.TRUE.equals(tenantProperties.getEnable())) {
            // 启用多租户拦截
            interceptor.addInnerInterceptor(new TenantLineInnerInterceptor(new MultiTenantHandler(tenantProperties)));
        }
        if (Boolean.TRUE.equals(dataPermissionProperties.getEnable())) {
            // 启用数据权限拦截
            interceptor.addInnerInterceptor(new MyDataPermissionInterceptor(new OrgDataPermissionHandler(dataPermissionProperties)));
        }
        // 分页拦截
        PaginationInnerInterceptor paginationInterceptor = new PaginationInnerInterceptor(DbType.MYSQL);
        paginationInterceptor.setMaxLimit(MAX_LIMIT);
        interceptor.addInnerInterceptor(paginationInterceptor);
        // 乐观锁拦截
        interceptor.addInnerInterceptor(new OptimisticLockerInnerInterceptor());
        return interceptor;
    }

    @Bean
    @ConditionalOnMissingBean
    public MetaObjectHandler metaObjectHandler() {
        return new DBMetaObjectHandler();
    }

}

2、执行结果

针对MybatisPlus提供的API、自定义Mapper中的statement(不清楚statement概念的同学可自行百度)我都进行了测试,均可正常拦截,下面附上一些拦截前后SQL对比的例子:

处理前 处理后
SELECT USER
.tenant_id,
USER.org_id,
org.org_name,
org.org_address,
USER.role_id,
role.role_name,
role.role_code,
USER.id AS user_id,
USER.NAME AS user_name,
USER.age AS user_age
FROM
wsp_user
AS USER LEFT JOIN wsp_org AS org ON USER.org_id = org.id
LEFT JOIN wsp_role AS role ON USER.role_id = role.id
WHERE
USER.id = ?
SELECT USER
.tenant_id,
USER.org_id,
org.org_name,
org.org_address,
USER.role_id,
role.role_name,
role.role_code,
USER.id AS user_id,
USER.NAME AS user_name,
USER.age AS user_age
FROM
wsp_user
AS USER LEFT JOIN wsp_org AS org ON USER.org_id = org.id
LEFT JOIN wsp_role AS role ON USER.role_id = role.id
AND role.tenant_id = 1
WHERE
USER.id = ?
AND USER.tenant_id = 1
AND (
create_by = 1
OR USER.org_id IN ( 4, 5, 6 ))

其他的增删改查的例子,同多租户拦截器,这里就不赘述了。

五、忽略拦截

在一些场景下,无需多租户拦截、无需数据鉴权拦截,或者对于一些超级管理员使用的接口,希望夸租户查询、免数据鉴权时,可以通过下面几种方式实现忽略拦截:

  • 使用MybatisPlus框架自带的@InterceptorIgnore注解,以用在Mapper类上,也可以用在方法上
  • 添加超级用户账号白名单,在自定义的Handler里进行逻辑判断,跳过拦截
  • 添加数据表白名单,在自定义的Handler里进行逻辑判断,跳过拦截
 /**
     * 详情,使用@InterceptorIgnore注解,忽略多租户拦截 
* 注解@InterceptorIgnore可以用在Mapper类上,也可以用在方法上 * * @param id * @return */ @InterceptorIgnore(tenantLine = "true") UserOrgVO myFindByIdNoTenant(@Param(value = "id") Long id);
tenant:
  enable: true
  column: tenant_id
  filterTables:
  ignoreTables:
    # 不进行多租户拦截的表
    - wsp_org
  ignoreLoginNames:
    # 这里配置了ID,需要使用username的,可在MultiTenantHandler中自己实现判断逻辑
    - 99
    - 98

data:
  permission:
    enable: true
    dataCreatorColumn: create_by
    dataPermissionIdColumn: org_id
    filterTables:
    ignoreTables:
      # 不进行数据鉴权拦截的表
      - wsp_org
      - wsp_role
    ignoreLoginNames:
      # 这里配置了ID,需要使用username的,可在OrgDataPermissionHandler中自己实现判断逻辑
      - 99 
      - 98

六、参考

  • Saas.数据权限控制(Sql解析)
  • or 和 in 的效率对比
  • 常见的功能权限模型

你可能感兴趣的:([拓维]云架构,MySQL,SpringBoot,mybatis,java,spring,boot)