Mybatis使用拦截器实现数据权限

已于 2023-05-10 17:12:23 修改
阅读量422 收藏 3
点赞数 2
分类专栏: mybatis 文章标签: mybatis java
于 2023-05-10 17:03:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lengxia0/article/details/130604031
版权
文章介绍了Java自定义注解的关键元注解@Documented、@Target和@Retention的用途和生命周期选择。@Documented用于影响JavaDoc生成,@Target定义注解使用范围,@Retention控制注解的生命周期。此外,文章还展示了如何在Mybatis中实现一个拦截器PermissionInterceptor,用于拦截SQL执行,动态增强SQL语句。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.自定义注解

@Documented
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Permission {
	
}

@Documented@Deprecated注解长得有点像,@Deprecated是用来标注某个类或者方法不建议再继续使用,@Documented只能用在注解上,如果一个注解@B,被@Documented标注,那么被@B修饰的类,生成文档时,会显示@B。如果@B没有被@Documented标注,最终生成的文档中就不会显示@B。这里的生成文档指的JavaDoc文档!

@Deprecated注解基本上所有框架自定义的注解都会添加,所谓javadoc其实就是JDK给我们提供的一个生成文档的工具!

@Target注解自JDK1.5之后就有了,其作用是定义在注解的上方,表明其注解的作用范围。

ElementType枚举值作用范围
TYPE接口、类、枚举
FIELD字段、枚举的常量
METHOD方法
PARAMETER方法参数
CONSTRUCTOR构造函数
LOCAL_VARIABLE局部变量
ANNOTATION_TYPE注解
PACKAGE

@Retention是用来修饰注解的,注解的注解,也称为元注解。@Retention修饰注解,用来表示注解的生命周期,生命周期的长短取决于@Retention的属性RetentionPolicy指定的值,例如@Retention(RetentionPolicy.RUNTIME)

取值描述作用范围使用场景
RetentionPolicy.SOURCE表示注解只保留在源文件,当java文件编译成class文件,就会消失源文件只是做一些检查性的操作,比如 @Override 和 @SuppressWarnings
RetentionPolicy.CLASS注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期class文件(默认)要在编译时进行一些预处理操作,比如生成一些辅助代码(如 ButterKnife)
RetentionPolicy.RUNTIME注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在运行时也存在需要在运行时去动态获取注解信息

生命周期选择:

首先要明确生命周期长度 SOURCE < CLASS < RUNTIME ,所以前者能作用的地方后者一定也能作用。一般如果需要 在运行时去动态获取注解信息,那只能用 RUNTIME 注解;如果要在编译时进行一些预处理操作,比如生成一些辅助代码(如 ButterKnife) ,就用 CLASS注解;如果只是做一些检查性的操作,比如 @Override 和@SuppressWarnings,则 可选用 SOURCE 注解。

2.实现拦截器

@Intercepts({@Signature(type = StatementHandler.class, method = "prepare", args = {Connection.class, Integer.class})})
public class PermissionInterceptor implements Interceptor {

    private static final Log log = LogFactory.get(PermissionInterceptor.class);

    /**
     * 拦截sql
     *
     * @param invocation q
     */
    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        StatementHandler statementHandler = (StatementHandler) invocation.getTarget();

        // 通过MetaObject优雅访问对象的属性,这里是访问statementHandler的属性;:MetaObject是Mybatis提供的一个用于方便、
        // 优雅访问对象属性的对象,通过它可以简化代码、不需要try/catch各种reflect异常,同时它支持对JavaBean、Collection、Map三种类型对象的操作。
        MetaObject metaObject = MetaObject.forObject(statementHandler, SystemMetaObject.DEFAULT_OBJECT_FACTORY, SystemMetaObject.DEFAULT_OBJECT_WRAPPER_FACTORY,
                new DefaultReflectorFactory());

        // 先拦截到RoutingStatementHandler,里面有个StatementHandler类型的delegate变量,其实现类是BaseStatementHandler,然后就到BaseStatementHandler的成员变量mappedStatement
        MappedStatement mappedStatement = (MappedStatement) metaObject.getValue("delegate.mappedStatement");

        // id为执行的mapper方法的全路径名,如com.cq.UserMapper.insertUser, 便于后续使用反射
        String id = mappedStatement.getId();

        Permission permission = null;
        // 通过类全路径获取Class对象
        Class<?> classType = Class.forName(id.substring(0, id.lastIndexOf(".")));
        // 获取当前所拦截的方法名称
        String mName = id.substring(id.lastIndexOf(".") + 1);
        // 遍历类中所有方法名称,并if匹配上当前所拦截的方法
        for (Method method : classType.getDeclaredMethods()) {
            if (mName.equals(method.getName())) {
                // 判断方法上是否带有自定义@InterceptAnnotation注解
                permission = method.getAnnotation(Permission.class);
            }
        }

        if (permission == null) {
            return invocation.proceed();
        }

        BoundSql boundSql = statementHandler.getBoundSql();
        // 获取到原始sql语句
        String sql = boundSql.getSql().toLowerCase();
        log.info("SQL:{}", sql);


        // 增强sql
        // 通过反射,拦截方法上带有自定义@InterceptAnnotation注解的方法,并增强sql
        String mSql = sqlAnnotationEnhance(permission, sql);

        //通过反射修改sql语句
        Field field = boundSql.getClass().getDeclaredField("sql");
        field.setAccessible(true);
        field.set(boundSql, mSql);
        // 打印:增强后的SQL:select * from scenario_storage limit 2
        log.info("增强后的SQL:{}", mSql);
        return invocation.proceed();
    }


    /**
     * 通过反射,拦截方法上带有自定义@InterceptAnnotation注解的方法,并增强sql
     *
     * @param permission 自定义注解
     * @param sql        所执行的sql语句
     */
    private String sqlAnnotationEnhance( Permission permission, String sql) {
        
    	//todo 增强sql

        return sql;
    }

    
    @Override
    public Object plugin(Object target) {
        if (target instanceof StatementHandler) {
            return Plugin.wrap(target, this);
        } else {
            return target;
        }
    }

    @Override
    public void setProperties(Properties properties) {

    }
}

【D3S】数据权限 - 基于Mybatis数据权限拦截器实现
罗小爬的技术宝书
07-02 1945
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
项目实战第四十五讲:使用MyBatis拦截器实现业务系统数据权限
Jet_qi的博客
09-28 365
操作员只能看到自己的订单,但是操作主管和管理层可以看到所有的订单;业务员只能看到自己维护的客户的订单和客户信息,业务主管和管理层可以看到所有的客户信息。员工根据不同职位掌握不同体量的数据信息,以保证公司的“数据安全”。这个诉求可以通过“数据权限”解决
mybatis拦截器实现数据权限
2301_78287784的博客
06-10 418
前端的菜单和按钮权限都可以通过配置来实现,但很多时候,后台查询数据库数据的权限需要通过手动添加SQL来实现。比如员工打卡记录表,有id,name,dpt_id,company_id等字段,后两个表示部门ID和分公司ID。当一个总部账号可以查看全部数据此时,sql无需改变。因为他可以看到全部数据。当一个部门管理员权限员工查看全部数据时,sql需要在末属添加如果每个功能模块都需要手动写代码去拿到当前登陆用户的所属部门,然后手动添加where条件,就显得非常的繁琐。
mybatils拦截器实现数据权限控制(多租户数据控制)
最新发布
张刚的博客
04-17 420
mybatils拦截器实现数据权限控制(多租户数据控制)
MyBatis拦截器实现数据范围权限控制,超简单!
八戒的博客
11-03 1159
数据范围权限控制是许多应用程序中的重要需求,特别是在多租户系统或需要根据用户权限控制数据访问的场景中。在本文中,我们将介绍如何使用拦截器自动装配方式来实现数据范围权限控制,为应用程序提供高度可扩展的解决方案。
mybatis拦截器数据权限
qq1010267837的博客
05-05 688
package com.geely.dt.configuration; import com.geely.dt.service.pipeline.*; import com.geely.dt.service.pipeline.menuresouceperimissiondata.ResouceMenuData; import com.geely.dt.service.pipeline.menuresouceperimissiondata.ResouceMenuDataPipeline; import c.
Mybatis拦截器记录数据更新历史记录到MongoDB
08-15
本文将深入探讨如何使用Mybatis拦截器来记录数据更新历史记录,并将其存储到MongoDB中。 首先,我们来理解Mybatis拦截器的原理。Mybatis拦截器是基于Java的动态代理机制实现的,它允许我们在特定的执行点(如SQL...
使用mybatis plus自定义拦截器,实现数据权限
07-31 2423
为了增强程序的安全性,需要在用户访问数据库的时候进行权限判断后选择性进行判断是否需要增强sql,来达到限制低级别权限用户访问数据的目的.根据业务需要,这里将角色按照数据范围做权限限定.比如,角色如下编号名称描述1管理员全部数据权限2普通角色自定义数据权限3部门权限部门权限4部门及以下数据权限部门及以下数据权限5本人数据本人数据部门如下编号父id名称描述10北京总公司1011北京公司11021北京公司210101101丰台公司1。...
利用Mybatis拦截器实现数据权限
马明的博客
03-10 3532
个人博客纯净版 利用Mybatis拦截器实现数据权限 在我们日常开发过程中,通常会涉及到数据权限问题,下面以我们常见的一种场景举例: 一个公司有很多部门,每个人所处的部门和角色也不同,所以数据权限也可能不同,比如超级管理员可以查看某张 表的素有信息,部门领导可以查看该部门下的相关信息,部门普通人员只可以查看个人相关信息,而且由于角色的 不同,各个角色所能查看到的数据库字段也可能不相同,那么此处就涉及到了数据权限相关的问题。那么我们该如 何处理数据权限相关的问题呢?我们提供一种通过Mybat.
Mabitis拦截器 实现数据权限
qq_36971758的博客
03-10 443
Mabitis拦截器 实现数据权限(新增与查询分离)
基于mybatis拦截器实现数据权限
前尘忆梦的专栏
06-09 2299
mybatis拦截器实现数据权限
MyBatis Plus 拦截器实现数据权限控制(完整版)
progammer10086的博客
06-09 7389
新增针对不需要做数据权限控制的注解
利用mybatis 拦截器实现数据权限
qq_37782946的博客
04-11 801
查询前执行该方法即可 参数1:字段名,参数2:自定义id可传null,在拦截器更具用户查询。该方法就是为了往ThreadLocal set数据。// 使用matcher方法检查是否匹配字符串的结尾。// 将正则表达式编译成Pattern对象。5.ThreadLocal缓存类型实体类。* 正则校验以什么结尾。
mybatis拦截器实现权限管理
奋斗男孩的博客
02-20 2245
我们定义了一个拦截器,把将要执行Executor的sql语句进行拦截,通过线程上下文拿到此前封装好的数据形式MybatisDataAuthority,在由Jsqlparser解析器将一段完整的Sql解析成方便拼装的Sql表达式,最后将此sql输出由执行器执行,达到控制的效果。上面代码为根据认证用户所拥有的资源进行数据的封装传递给拦截器的过程。我们看到了可以拦截Executor接口的部分方法,比如update,query,commit,rollback等方法,还有其他接口的一些方法等。
通过MyBatis拦截器实现数据权限控制
bzqwell的博客
05-25 866
笔者这里是因为依赖的jar中自定义创建了SqlSessionFactory,创建SqlSessionFactory的代码中没有设置拦截器。如果项目使用的自定义的SqlSessionFactory,需要创建的时候把拦截器添加进去。可参考这篇文章:springboot配置多数据源后mybatis拦截器失效如果恰好读者的SqlSessionFactory也是在jar中创建的,或者不能直接修改,则需要另一种方式。
Mybatis 拦截器实现数据行权限
u010627840的专栏
08-25 6472
最近项目有一个需求:需要针对不同登录用户,同一个接口查看的数据不一样。因为项目采用了mybatis持久化框架,因此想到使用mybatis自带的拦截器实现。 1. 回顾 之前接触的数据行权限一般是在SQL中加入userid=xx之类的条件,但是这样方式有比较大的局限性,侵入性过大,对原有项目的改到也很大。 2.思考 考虑到Mybatis拦截器能够拦截SQL执行的整个过程,因为我们可以考虑SQL
MyBatis-Plus 使用拦截器实现数据权限控制
03-08
### MyBatis-Plus 拦截器实现数据权限控制 #### 使用自定义注解与拦截器相结合的方式 为了实现MyBatis Plus中对查询结果的数据权限过滤,可以采用自定义注解配合拦截器的方式来完成。这种方式不仅能够简化开发流程,还能有效减少SQL解析的风险。 当开发者希望在不修改原有业务逻辑的前提下增加数据访问层的安全机制时,可以通过创建特定场景下的注解来标记需要应用此安全措施的服务接口或方法[^2]。例如: ```java @Target({ ElementType.METHOD, ElementType.TYPE }) @Retention(RetentionPolicy.RUNTIME) public @interface DataPermission { String value(); } ``` 接着,在配置类中注册一个实现了`Interceptor`接口的组件,并重写其内的`intercept()`函数用于实际处理逻辑。在此过程中,可以从上下文中获取由上述自定义注解传递过来的信息并据此调整最终发出给数据库引擎执行的SQL语句[^1]。 对于具体的应用实例来说,则是在目标Service层的方法上添加之前定义好的注解,指定相应的条件表达式或者其他必要的参数。之后每当触发带有该注解标注的操作时,系统便会自动调用对应的拦截器来进行额外校验工作,从而达到预期效果。 下面是一个简单的例子展示如何设置这样的环境以及编写相关代码片段: ```java // 定义数据权限注解 import java.lang.annotation.*; @Documented @Inherited @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @interface DataScope {} // 创建拦截器类 @Component @Intercepts(@Signature(type = Executor.class, method = "query", args = {MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class})) class DynamicDataSourceInterceptor implements Interceptor { private static final Logger logger = LoggerFactory.getLogger(DynamicDataSourceInterceptor.class); @Override public Object intercept(Invocation invocation) throws Throwable { MappedStatement ms = (MappedStatement)invocation.getArgs()[0]; Object parameterObject = invocation.getArgs()[1]; Method currentMethod = ReflectUtil.getMethodByClass(ms.getId(), parameterObject.getClass()); if(null != currentMethod && currentMethod.isAnnotationPresent(DataScope.class)){ // 获取当前登录用户的部门id或其他信息 Long deptId = SecurityContextHolder.getContext().getAuthentication().getName(); BoundSql boundSql = ms.getBoundSql(parameterObject); String sql = boundSql.getSql(); // 动态拼接sql,这里只是简单示范,实际情况可能更复杂 StringBuilder newSqlBuilder = new StringBuilder(sql.length() + 100).append(sql); // 假设表中有dept_id字段用来存储所属部门编号 int index = newSqlBuilder.lastIndexOf("WHERE"); if(index >= 0){ newSqlBuilder.insert(index + 5," AND t.dept_id = #{deptId}"); }else{ newSqlBuilder.append(" WHERE t.dept_id = #{deptId}"); } // 更新boundSql对象中的原始sql字符串和其他属性... MetaObject metaObject = SystemMetaObject.forObject(boundSql); metaObject.setValue("sql",newSqlBuilder.toString()); // 将新的参数加入到原参数列表里以便后续使用 Map<String,Object> paramsMap = (Map<String,Object>)parameterObject; paramsMap.put("deptId",deptId); } return invocation.proceed(); } } // 应用至服务端点处 @Service public class UserServiceImpl extends ServiceImpl<UserMapper, UserEntity> implements IUserService { @DataScope @Override public List<UserEntity> listUsers(){ return baseMapper.selectList(new QueryWrapper<>()); } } ``` 以上就是关于如何利用MyBatis Plus自带的拦截器特性结合自定义注解达成较为灵活高效的数据权限管理方案的一个基本介绍和实践案例说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值