若依源码解析:DataScopeAspect实现数据范围的控制
大约 5 分钟
源代码
@Aspect
@Component
public class DataScopeAspect
{
/**
* 全部数据权限
*/
public static final String DATA_SCOPE_ALL = "1";
/**
* 自定数据权限
*/
public static final String DATA_SCOPE_CUSTOM = "2";
/**
* 部门数据权限
*/
public static final String DATA_SCOPE_DEPT = "3";
/**
* 部门及以下数据权限
*/
public static final String DATA_SCOPE_DEPT_AND_CHILD = "4";
/**
* 仅本人数据权限
*/
public static final String DATA_SCOPE_SELF = "5";
/**
* 数据权限过滤关键字
*/
public static final String DATA_SCOPE = "dataScope";
@Before("@annotation(controllerDataScope)")
public void doBefore(JoinPoint point, DataScope controllerDataScope) throws Throwable
{
clearDataScope(point);
handleDataScope(point, controllerDataScope);
}
protected void handleDataScope(final JoinPoint joinPoint, DataScope controllerDataScope)
{
// 获取当前的用户
LoginUser loginUser = SecurityUtils.getLoginUser();
if (StringUtils.isNotNull(loginUser))
{
SysUser currentUser = loginUser.getUser();
// 如果是超级管理员,则不过滤数据
if (StringUtils.isNotNull(currentUser) && !currentUser.isAdmin())
{
dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(),
controllerDataScope.userAlias());
}
}
}
/**
* 数据范围过滤
*
* @param joinPoint 切点
* @param user 用户
* @param userAlias 别名
*/
public static void dataScopeFilter(JoinPoint joinPoint, SysUser user, String deptAlias, String userAlias)
{
StringBuilder sqlString = new StringBuilder();
for (SysRole role : user.getRoles())
{
String dataScope = role.getDataScope();
if (DATA_SCOPE_ALL.equals(dataScope))
{
sqlString = new StringBuilder();
break;
}
else if (DATA_SCOPE_CUSTOM.equals(dataScope))
{
sqlString.append(StringUtils.format(
" OR {}.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id = {} ) ", deptAlias,
role.getRoleId()));
}
else if (DATA_SCOPE_DEPT.equals(dataScope))
{
sqlString.append(StringUtils.format(" OR {}.dept_id = {} ", deptAlias, user.getDeptId()));
}
else if (DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope))
{
sqlString.append(StringUtils.format(
" OR {}.dept_id IN ( SELECT dept_id FROM sys_dept WHERE dept_id = {} or find_in_set( {} , ancestors ) )",
deptAlias, user.getDeptId(), user.getDeptId()));
}
else if (DATA_SCOPE_SELF.equals(dataScope))
{
if (StringUtils.isNotBlank(userAlias))
{
sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId()));
}
else
{
// 数据权限为仅本人且没有userAlias别名不查询任何数据
sqlString.append(" OR 1=0 ");
}
}
}
if (StringUtils.isNotBlank(sqlString.toString()))
{
Object params = joinPoint.getArgs()[0];
if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
{
BaseEntity baseEntity = (BaseEntity) params;
baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");
}
}
}
/**
* 拼接权限sql前先清空params.dataScope参数防止注入
*/
private void clearDataScope(final JoinPoint joinPoint)
{
Object params = joinPoint.getArgs()[0];
if (StringUtils.isNotNull(params) && params instanceof BaseEntity)
{
BaseEntity baseEntity = (BaseEntity) params;
baseEntity.getParams().put(DATA_SCOPE, "");
}
}
}
使用场景
界面操作
角色管理>点击更多>修改数据权限
SysDeptServiceImpl
@Override
@DataScope(deptAlias = "d")
public List<SysDept> selectDeptList(SysDept dept)
{
return deptMapper.selectDeptList(dept);
}
SysUserServiceImpl
@Override
@DataScope(deptAlias = "d", userAlias = "u")
public List<SysUser> selectUserList(SysUser user)
{
return userMapper.selectUserList(user);
}
SysUserMapper
DataScope定义
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataScope
{
/**
* 部门表的别名
*/
public String deptAlias() default "";
/**
* 用户表的别名
*/
public String userAlias() default "";
}
代码解析
这段代码是一个名为DataScopeAspect的切面类,用于实现数据范围的控制。它使用了Spring的AOP(面向切面编程)来拦截带有@DataScope注解的方法,并在方法执行之前进行数据范围的处理。
以下是对该代码的解析:
@Aspect和@Component
该类被注解为@Aspect和@Component,表示它是一个切面类并且会被Spring进行管理。
@Aspect和@Component是Spring框架中的注解,用于在应用程序中声明切面和组件,并由Spring进行管理和使用。
@Aspect注解:
- @Aspect注解用于标识一个类为切面类,即包含切面逻辑的类。它告诉Spring这个类是一个切面,需要进行切面的处理。
- 当Spring扫描到被@Aspect注解的类时,会将其识别为一个切面,并在运行时根据切面的定义来实施切面行为。
@Component注解:
- @Component注解是Spring框架中通用的注解,用于标识一个类为组件,表示它会被Spring进行管理。
- @Component注解通常用于将普通的Java类纳入Spring的上下文中,使得这些类可以被自动装配和使用。
- 当Spring扫描到被@Component注解的类时,会将其实例化,并将其作为一个Spring的Bean进行管理。
通过将@Aspect和@Component注解应用于相应的类,Spring能够识别和处理这些类,从而实现AOP和组件管理的功能。在运行时,Spring会创建和维护这些切面和组件,并在需要时应用切面逻辑和依赖注入等功能。
不同的数据权限类型
它定义了一些常量,如DATA_SCOPE_ALL、DATA_SCOPE_CUSTOM等,用于表示不同的数据权限类型。
/**
* 全部数据权限
*/
public static final String DATA_SCOPE_ALL = "1";
/**
* 自定数据权限
*/
public static final String DATA_SCOPE_CUSTOM = "2";
/**
* 部门数据权限
*/
public static final String DATA_SCOPE_DEPT = "3";
/**
* 部门及以下数据权限
*/
public static final String DATA_SCOPE_DEPT_AND_CHILD = "4";
/**
* 仅本人数据权限
*/
public static final String DATA_SCOPE_SELF = "5";
@Before通知
该切面类中定义了一个@Before通知,用于在带有@DataScope注解的方法执行之前执行相关逻辑。
doBefore方法是@Before通知的实现方法,它接收JoinPoint和DataScope对象作为参数。
/**
* 拦截带有@DataScope注解的方法
* 它接收JoinPoint和DataScope对象作为参数。拦截带有@DataScope注解的方法
* DataScope是一个注解类
* @param point
* @param controllerDataScope
* @throws Throwable
*/
@Before("@annotation(controllerDataScope)")
public void doBefore(JoinPoint point, DataScope controllerDataScope) throws Throwable
{
clearDataScope(point);
handleDataScope(point, controllerDataScope);
}
处理数据范围的方法
- handleDataScope方法用于处理数据范围,根据当前登录用户的角色和数据权限进行过滤。
- dataScopeFilter方法是实际的数据范围过滤逻辑,根据用户的角色不同,构建不同的SQL语句进行数据过滤。
- clearDataScope方法用于清空params.dataScope参数,以防止注入攻击。
- 在dataScopeFilter方法中,根据用户的角色的dataScope值,构建不同的SQL语句,最终将数据范围的条件存储在BaseEntity对象的params属性中。
该切面类的作用是根据用户的角色和数据权限,在特定的方法执行之前对数据进行过滤,确保用户只能访问其具有权限的数据。