数据权限控制

1. 数据权限是什么？

在讲数据权限之前，要先说一下功能权限；功能权限一般的管理后台系统都会涉及到；即：某个人拥有什么角色，可以对哪些资源进行操作；
数据权限和功能权限一样，也是一种对资源的保护；数据权限又可以分为“横向权限”和“纵向权限”

横向权限：即对数据行级别的限制

例如：角色A可以查看全部数据；角色B只能查看50条数据；

纵向权限：即数据列级别的限制

例如：角色C可以查看所有列，角色D只能查看3列数据

2. 数据权限如何设计？

个人理解：
既然数据权限和功能权限一样，那么权限表（permission）里就可以创建一条数据，类型定义为“数据权限”，至于数据规则的具体逻辑可以单独用一个表（data_rule）存储，然后data_rule 表里面引入permission表 Id字段
具体执行逻辑：

1. 用户访问一个资源
2. 判断该用户是否有权限访问该资源（即：功能权限）
3. 如果可以访问，判断该接口是否启用了数据权限规则
4. 如果启用数据规则，获取该用户拥有的角色，通过角色获取数据规则权限
5. 通过数据规则，动态修改查询SQL
6. 执行SQL，返回结果；
   以上逻辑是否觉得有哪块不对?
   在第四步的时候，通过角色获取数据规则，数据规则可能有多个，那应该怎么处理？
   例如：
   1）一个用户是销售经理， 他可以看他以及他下属的销售业绩； 对应一条数据权限1
   2）查看客户信息时，他能查看他下属的客户信息； 对应一条数据权限2
   当用户访问销售业绩的时候，如果按照之前的理论，应该会得到两条数据权限；但是这并不是我们想要的，我们只想得到数据权限1就可以。所以数据权限应该是与接口对应的，即：数据权限作用在哪个具体的接口上，这样当我们获取到2条数据权限时，通过接口URL进行过滤，就可以找到只属于这个接口的数据权限了；

3. 开源框架jeecg-boot 是如何做的？

下图是jeecgboot 表设计的大致：

图片.png

jeecg-boot框架里面的具体逻辑：

1. 在使用数据权限的接口上用自定义注解@PermissionData标识
2. 编写一个切面类PermissionDataAspect，拦截@PermissionData标识的接口
3. 当用户访问一个带有注解PermissionData的接口，首先会进入PermissionDataAspect类，该类的主要作用就是通过接口URL获取作用在这条接口上的数据权限，然后把数据权限（即：数据规则）保存到上下文中。
4. 当进入到真正的接口中时，获取数据规则，通过数据规则动态生成Sql语句。
5. 执行sql 并返回结果