MyBatis中添加拦截器实现权限控制

最新推荐文章于 2025-03-26 22:40:09 发布
最新推荐文章于 2025-03-26 22:40:09 发布
阅读量605 收藏 3
点赞数
分类专栏: MyBatis 文章标签: mybatis java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/baichoulishang/article/details/129132451
版权

有一个@AuthData,用它能够在MyBatis查询的时候增加一些权限

mybatis可以被拦截的类型有四种:

  • Excutor(拦截执行器的方法)
  • ParameterHandler(拦截参数的处理),基本
  • StatementHandler(拦截sql语句构建的处理)
  • ResultHandler(拦截结果集的处理)

详情看下面的类的具体实现

// (1) 数据权限拦截器的实现类
AuthDataIntercepter

// (2) 配合该注解实现,用在controller层的方法上
@AuthData

// (3) 在写SQL语句时可以获取到注入的参数数据
<if test="auth != null and auth.authType == 2">
    WHERE org_id IN
    <foreach collection="auth.departIds" item="did" open="(" separator="," close=")">
        #{did}
    </foreach>
</if>

// (4) 在启动类种注册拦截器
public static void main(String[] args) {
    ConfigurableApplicationContext context = SpringApplication.run(ModuleFinanceServiceApplication.class, args);
    SpringUtils.setApplicationContext(context);
    //这种方式添加mybatis拦截器保证在pageHelper前执行
    context.getBean(SqlSessionFactory.class).getConfiguration().addInterceptor(new AuthDataIntercepter());
    context.getBean(SqlSessionFactory.class).getConfiguration().addInterceptor(new SignComAuthDataIntercept());
}
业务开发只需要在写SQL时从指定的变量中获取权限的数据,并将其拼接到SQL语句中即可。

拦截器实现代码

前面的注解@Intercepts的两个参数,好像也没人介绍为什么要这样写。

基本的意思就是,执行具体的update或者query的SQL的时候会触发这些逻辑。

第一个接口AuthDataIntercepter


@Intercepts({@Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class,
        RowBounds.class, ResultHandler.class}),
        @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class,
                RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class}),})
public class AuthDataIntercepter implements Interceptor {

    private final Logger logger = LoggerFactory.getLogger(AuthDataIntercepter.class);

    @Override
    @SuppressWarnings({"unchecked", "rawtypes"})
    public Object intercept(Invocation invocation) throws Throwable {

        AuthDataBo authDataBo = AuthDataUtils.getAuthData();

        Object[] args = invocation.getArgs();
        Object paramObject = args[1];
        if (Objects.isNull(authDataBo)) {
            if (paramObject instanceof MapperMethod.ParamMap) {
                MapperMethod.ParamMap paramObject1 = (MapperMethod.ParamMap) paramObject;
                paramObject1.put("auth", authDataBo);
                args[1] = paramObject1;
            }
            return invocation.proceed();
        }
        if (paramObject instanceof Map) {
            if (MapUtils.isNotEmpty((Map<String, Object>) paramObject)) {
                ((Map<Object, Object>) paramObject).put("auth", authDataBo);
            }
        } else if (paramObject == null) {
            // 如果mapper参数列表为空而又需要auth
            HashMap<String, Object> params = new HashMap<>();
            params.put("auth", authDataBo);
            args[1] = params;
        } else {
            Class<?> clazz = paramObject.getClass();
            if (logger.isDebugEnabled()) {
                logger.debug("mybatis参数类型不为Map:{}", clazz);
            }

            Map<String, Object> beamMap = getMethod(args);
            beamMap.put("auth", authDataBo);
            args[1] = beamMap;
        }
        if (logger.isDebugEnabled()) {
            logger.info("mybatis添加数据权限后的参数:{}", JsonUtils.toJson(args[1]));
        }
        return invocation.proceed();
    }

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {
        //do Nothing
    }

    public Map<String, Object> getMethod(Object[] args) throws Throwable {
        MappedStatement arg = (MappedStatement) args[0];
        String string = arg.getId();
        Object paramObject = args[1];
        String method = string.substring(string.lastIndexOf(".") + 1);
        String clazz = string.substring(0, string.lastIndexOf("."));
        Class<?> aClass = Class.forName(clazz);
        Method[] methods = aClass.getMethods();
        Map<String, Object> beamMap = ObjectUtil.objectToMap(paramObject);
        for (Method method1 : methods) {
            if (!method1.getName().equals(method)) {
                continue;
            }
            //if (method1.isAnnotationPresent(Param.class)) continue;
            Parameter[] ps = method1.getParameters();
            for (Parameter p : ps) {
                String name = p.getName();
                beamMap.put(name, paramObject);
            }
            args[1] = beamMap;
        }
        return beamMap;
    }

}

另一个拦截器的代码是这样的

另一个接口SignComAuthDataIntercept

/**
 * 签约主体划分数据权限Mybatis拦截器
 *
 */
@Intercepts({
        @Signature(type = Executor.class,
                method = "query",
                args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}),
        @Signature(type = Executor.class,
                method = "query",
                args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class,
                        CacheKey.class, BoundSql.class}),})
public class SignComAuthDataIntercept implements Interceptor {

    /**
     * 需要注入参数的key值
     */
    private static final String SIGN_COM_KEY = "signComAuth";

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        // 从线程本地变量中获取数据权限对象
        SignComVo signComAuthVo = SignComAuthDataAspect.getSignComAuthVo();
        Object[] args = invocation.getArgs(); // 这里获取的是@Signature中args
        Object paramObject = args[1]; // 数据结构为:MapperMethod.ParamMap

        if (Objects.isNull(signComAuthVo)) {
            if (MapperMethod.ParamMap.class.isInstance(paramObject)) {
                MapperMethod.ParamMap paramMap = (MapperMethod.ParamMap) paramObject;
                // 对map追加一个元素然后放回 args[1]
                paramMap.put(SIGN_COM_KEY, null);
                args[1] = paramMap;
            }
            return invocation.proceed();
        }

        if (paramObject instanceof Map) {
            if (MapUtils.isNotEmpty((Map<String, Object>) paramObject)) {
                ((Map<String, Object>) paramObject).put(SIGN_COM_KEY, signComAuthVo);
            }
        } else if (paramObject == null) {
            // 如果mapper参数列表为空而又需要auth
            HashMap<String, Object> params = new HashMap<>();
            params.put(SIGN_COM_KEY, signComAuthVo);
            args[1] = params;
        } else {
            Map<String, Object> beamMap = ObjectUtil.objectToMap(paramObject);
            beamMap.put(SIGN_COM_KEY, signComAuthVo);
            args[1] = beamMap;
        }
        return invocation.proceed();
    }

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {
        // do nothing
    }

}

总结

以前设计权限系统的时候,所有的权限都是在代码中实现的,这样其实是会增加代码量。

这是一个很不错的思路

【D3S】数据权限 - 基于Mybatis的数据权限拦截器实现
罗小爬的技术宝书
07-02 1956
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
项目实战第四十五讲:使用MyBatis拦截器实现业务系统数据权限
Jet_qi的博客
09-28 366
操作员只能看到自己的订单,但是操作主管和管理层可以看到所有的订单;业务员只能看到自己维护的客户的订单和客户信息,业务主管和管理层可以看到所有的客户信息。员工根据不同职位掌握不同体量的数据信息,以保证公司的“数据安全”。这个诉求可以通过“数据权限”解决
MyBatis拦截器 添加查询条件动态修改sql
08-17
通过mybatis拦截器实现为所有sql(或指定sql) 统一添加查询条件,譬如通过线程变量传递某参数(日期),来实现对指定参数的数据筛选,而不需要在每个查询前,手动将该条件注入到查询中。因该资料网络较少,故特此分享,如有优化之处,希望大家多多指点。
mybatis拦截器实现权限管理
奋斗男孩的博客
02-20 2246
我们定义了一个拦截器,把将要执行Executor的sql语句进行拦截,通过线程上下文拿到此前封装好的数据形式MybatisDataAuthority,在由Jsqlparser解析器将一段完整的Sql解析成方便拼装的Sql表达式,最后将此sql输出由执行器执行,达到控制的效果。上面代码为根据认证用户所拥有的资源进行数据的封装传递给拦截器的过程。我们看到了可以拦截Executor接口的部分方法,比如update,query,commit,rollback等方法,还有其他接口的一些方法等。
一篇文章搞懂拦截器权限控制的优雅实现
最新发布
wertuiop_的博客
03-26 1042
在Web开发中,用户登录验证是一个常见需求。我们来看一个智能的解决方案——Spring拦截器如何像"安检员"般保护系统安全。(开篇用比喻引发兴趣)通过合理使用拦截器开发者可以实现"切面式"的安全控制。就像给系统装上智能门禁,既保证了安全性,又避免了在每个Controller中重复校验代码。当需要处理更底层的请求时,过滤器仍是可靠选择,而涉及业务逻辑的权限控制拦截器显然更加得心应手。
struts2拦截器实现权限控制
kanwoerzi
04-23 139
转载请注明出处:http://blog.youkuaiyun.com/wklken/archive/2011/04/23/6342985.aspx 在使用struts2框架开发一个办公OA系统时候,需要使用到权限控制 除了判定是否登陆之外,还必须对每个action的访问实现权限控制,因为如果用户登陆成功了,而且以前拥有某个权限的访问,记录下访问的action,而现在没有权限了,也能直接在地址栏输入...
mybatis拦截器实现数据权限
BASK2311的博客
06-10 1267
前端的菜单和按钮权限都可以通过配置来实现,但很多时候,后台查询数据库数据的权限需要通过手动添加SQL来实现。比如员工打卡记录表,有id,name,dpt_id,company_id等字段,后两个表示部门ID和分公司ID。当一个总部账号可以查看全部数据此时,sql无需改变。因为他可以看到全部数据。当一个部门管理员权限员工查看全部数据时,sql需要在末属添加如果每个功能模块都需要手动写代码去拿到当前登陆用户的所属部门,然后手动添加where条件,就显得非常的繁琐。
MyBatis拦截器实现数据范围权限控制,超简单!
八戒的博客
11-03 1164
数据范围权限控制是许多应用程序中的重要需求,特别是在多租户系统或需要根据用户权限控制数据访问的场景中。在本文中,我们将介绍如何使用拦截器自动装配方式来实现数据范围权限控制,为应用程序提供高度可扩展的解决方案。
mybatis拦截器实现通用权限字段添加的方法
08-25
要使用MyBatis拦截器,我们需要在Spring配置文件中添加拦截器的配置。 ```xml <bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean"> <value>classpath*:xmlmapper/*.xml ...
Mybatis拦截器实现分页
08-31
Mybatis框架中,拦截器是一种强大的工具,它允许我们在执行SQL之前或之后进行额外的操作,如日志记录、权限检查等。本篇文章将探讨如何使用Mybatis拦截器实现高效且方便的分页功能。 首先,我们要创建一个...
使用mybatis plus自定义拦截器,实现数据权限
07-31 2423
为了增强程序的安全性,需要在用户访问数据库的时候进行权限判断后选择性进行判断是否需要增强sql,来达到限制低级别权限用户访问数据的目的.根据业务需要,这里将角色按照数据范围做权限限定.比如,角色如下编号名称描述1管理员全部数据权限2普通角色自定义数据权限3部门权限部门权限4部门及以下数据权限部门及以下数据权限5本人数据本人数据部门如下编号父id名称描述10北京总公司1011北京公司11021北京公司210101101丰台公司1。...
拦截器实现权限管理
11-18
拦截器实现权限管理,没与数据库交互,不过原理差不多了
Mabitis拦截器 实现数据权限
qq_36971758的博客
03-10 444
Mabitis拦截器 实现数据权限(新增与查询分离)
【基于Mybatis-Plus拦截器实现数据权限控制
qq_45101120的博客
06-13 1432
基于Mybatis-Plus拦截器实现数据权限控制,可对数据表进行行权限和列权限灵活控制。
通过拦截器实现权限管理
Zero___0_0的博客
07-24 559
将这个注解写在需要区分权限的接口上。在数据库中将所有的权限分配合适。这样就用拦截器实现权限控制。​ 用户——角色——权限。
使用拦截器实现权限管理
weixin_33906657的博客
01-25 811
2019独角兽企业重金招聘Python工程师标准>>> ...
数据权限——Mybatis拦截器实现
u014800975的博客
05-08 1018
一、需求背景介绍 1、需求介绍 需要实现数据权限管理,包含角色:普通用户、组长、管理员。其中普通用户只能看到自己创建的项目,组长能看到自己所管理的普通用户创建的项目,管理员能看到所有项目。相关表为:项目表(包含责任人owner字段,owner所属组group字段)、用户表(包含组id)、组长信息表、管理员表。 2、方案设计 采用Mybatis拦截器,在请求查询sql后拼条件。 (1)如果当前用户为普通用户,查询项目时拼上条件owner=user; (2)如果当前用户为组长,查找当前user所管理的组list
Mybatis拦截器Interceptor实现加解密
wind_chasing_boy的博客
06-13 7712
最近项目使用Mybatis拦截器对数据进行加解密,以下记录如何将拦截器集成到项目中以及在使用过程中踩过的一些小坑,与君共勉Configuration:初始化基础配置,比如MyBatis的别名等,一些重要的类型对象,如插件,映射器,ObjectFactory和typeHandler对象,MyBatis所有的配置信息都维持在Configuration对象之中。SqlSessionFactory:SqlSession工厂。
使用 Struct2 框架的拦截器 实现权限管理功能
欢迎来到Gorit的博客
05-19 649
使用 Struct2 框架的拦截器 实现权限管理功能一、项目基本介绍二、项目环境搭建三、项目结构搭建3.1 前端 + 后端结构3.2 前端主要页面3.3 后端核心逻辑实现 (使用 struct2 拦截功能) 项目已经更新至:PowerManager 一、项目基本介绍 项目系统拥有三种用户类型 普通用户 (只具备信息查询的功能) 系统管理员 (只具备查询,添加,和修改的功能) 系统维护员 (具备所有功能,增删改查) 一些关键信息要隐藏 项目基本逻辑 具备最基本的登录功能 具备数据展示功能 项目侧
MyBatis-Plus 使用拦截器实现数据权限控制
03-08
### MyBatis-Plus 拦截器实现数据权限控制 #### 使用自定义注解与拦截器相结合的方式 为了实现MyBatis Plus中对查询结果的数据权限过滤,可以采用自定义注解配合拦截器的方式来完成。这种方式不仅能够简化开发流程,还能有效减少SQL解析的风险。 当开发者希望在不修改原有业务逻辑的前提下增加数据访问层的安全机制时,可以通过创建特定场景下的注解来标记需要应用此安全措施的服务接口或方法[^2]。例如: ```java @Target({ ElementType.METHOD, ElementType.TYPE }) @Retention(RetentionPolicy.RUNTIME) public @interface DataPermission { String value(); } ``` 接着,在配置类中注册一个实现了`Interceptor`接口的组件,并重写其内的`intercept()`函数用于实际处理逻辑。在此过程中,可以从上下文中获取由上述自定义注解传递过来的信息并据此调整最终发出给数据库引擎执行的SQL语句[^1]。 对于具体的应用实例来说,则是在目标Service层的方法上添加之前定义好的注解,指定相应的条件表达式或者其他必要的参数。之后每当触发带有该注解标注的操作时,系统便会自动调用对应的拦截器来进行额外校验工作,从而达到预期效果。 下面是一个简单的例子展示如何设置这样的环境以及编写相关代码片段: ```java // 定义数据权限注解 import java.lang.annotation.*; @Documented @Inherited @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @interface DataScope {} // 创建拦截器类 @Component @Intercepts(@Signature(type = Executor.class, method = "query", args = {MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class})) class DynamicDataSourceInterceptor implements Interceptor { private static final Logger logger = LoggerFactory.getLogger(DynamicDataSourceInterceptor.class); @Override public Object intercept(Invocation invocation) throws Throwable { MappedStatement ms = (MappedStatement)invocation.getArgs()[0]; Object parameterObject = invocation.getArgs()[1]; Method currentMethod = ReflectUtil.getMethodByClass(ms.getId(), parameterObject.getClass()); if(null != currentMethod && currentMethod.isAnnotationPresent(DataScope.class)){ // 获取当前登录用户的部门id或其他信息 Long deptId = SecurityContextHolder.getContext().getAuthentication().getName(); BoundSql boundSql = ms.getBoundSql(parameterObject); String sql = boundSql.getSql(); // 动态拼接sql,这里只是简单示范,实际情况可能更复杂 StringBuilder newSqlBuilder = new StringBuilder(sql.length() + 100).append(sql); // 假设表中有dept_id字段用来存储所属部门编号 int index = newSqlBuilder.lastIndexOf("WHERE"); if(index >= 0){ newSqlBuilder.insert(index + 5," AND t.dept_id = #{deptId}"); }else{ newSqlBuilder.append(" WHERE t.dept_id = #{deptId}"); } // 更新boundSql对象中的原始sql字符串和其他属性... MetaObject metaObject = SystemMetaObject.forObject(boundSql); metaObject.setValue("sql",newSqlBuilder.toString()); // 将新的参数加入到原参数列表里以便后续使用 Map<String,Object> paramsMap = (Map<String,Object>)parameterObject; paramsMap.put("deptId",deptId); } return invocation.proceed(); } } // 应用至服务端点处 @Service public class UserServiceImpl extends ServiceImpl<UserMapper, UserEntity> implements IUserService { @DataScope @Override public List<UserEntity> listUsers(){ return baseMapper.selectList(new QueryWrapper<>()); } } ``` 以上就是关于如何利用MyBatis Plus自带的拦截器特性结合自定义注解达成较为灵活高效的数据权限管理方案的一个基本介绍和实践案例说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值