若依框架 @DataScope 注解导致定时任务异常的原因与优雅解决方案

原创 于 2025-06-17 09:34:10 发布 · 684 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #ruoyi

🧐 定时任务遇到数据权限限制问题?这样优雅解决!

最近写需求时遇到 若依框架 的数据权限限制场景,大致如下:

@DataScope(deptAlias = "company", userAlias = "company")
public List<CsCompany> selectCompanyList(Company company) {
    // 代码逻辑肯定不会给你看
}

这个 @DataScope 注解的作用是 限制数据范围,通过获取当前用户信息,在 SQL 后拼接部门权限条件,做到数据隔离。

❗ 问题出现了

场景:在写一个定时任务时,需要批量获取公司信息,运行时突然报错:

@Scheduled
public void scheduleTest() {
    List<CsCompany> csCompanies = selectCompanyList(new CsCompany());
    // 处理逻辑
}

🚨 报错信息:

获取用户信息异常

奇怪:查询逻辑明明没写获取用户信息,怎么就异常了?

🔍 真相揭秘

跟踪源码后发现,@DataScope 背后有个切面逻辑,会默认获取当前用户信息

@Before("@annotation(controllerDataScope)")
public void doBefore(JoinPoint point, DataScope controllerDataScope) {
    clearDataScope(point);
    handleDataScope(point, controllerDataScope);
}

protected void handleDataScope(final JoinPoint joinPoint, DataScope controllerDataScope) {
    // 获取当前用户信息
    LoginUser loginUser = SecurityUtils.getLoginUser();
    ...
}

进一步看 getLoginUser() 方法源码:

public static LoginUser getLoginUser() {
    try {
        return (LoginUser) getAuthentication().getPrincipal();
    } catch (Exception e) {
        throw new ServiceException("获取用户信息异常", HttpStatus.UNAUTHORIZED);
    }
}

原因总结:

原因说明
没有登录上下文定时任务场景下没有用户登录态
SecurityContext 为空SecurityUtils.getLoginUser() 获取失败

🛠️ 常见解决方案

方案优点缺点
1️⃣ 模拟登录用户手动设置用户信息,快速解决侵入性强,易遗忘,维护成本高
2️⃣ 重写方法写一个不带 @DataScope 的版本方法重复,逻辑分散,后续不好维护
3️⃣ 动态控制通过参数动态控制权限逻辑灵活 ✅,优雅 ✅,推荐使用 ✅

🚀 推荐方案 —— 动态控制数据权限

设计目标:

外部接口:需要权限过滤
内部调用(如定时任务):可以跳过权限过滤

🎨 改造 @DataScope 注解

新增一个 needDataScope 参数,支持 SpEL 动态绑定

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataScope {

    String deptAlias() default "";

    String userAlias() default "";

    /**
     * 是否需要进行数据权限限制,支持 SpEL 表达式
     */
    String needDataScope() default "true";
}

✅ 使用示例

@DataScope(deptAlias = "company", userAlias = "company", needDataScope = "#needDataScope")
public List<CsCompany> selectCompanyList(Company company, boolean needDataScope) {
    // 查询逻辑
}

说明:

名称说明
needDataScope是否需要权限限制,通过参数 #needDataScope 动态传入

🗂️ 切面逻辑改造

protected void handleDataScope(final JoinPoint joinPoint, DataScope controllerDataScope) {
    if (needDataScope(joinPoint, controllerDataScope)) {
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNotNull(loginUser)) {
            SysUser currentUser = loginUser.getUser();
            if (StringUtils.isNotNull(currentUser) && !currentUser.isAdmin()) {
                dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(),
                                controllerDataScope.userAlias(), loginUser);
            }
        }
    }
}

✨ 动态参数解析


private boolean needDataScope(JoinPoint point, DataScope controllerDataScope) {
    // 获取方法的参数名称
    MethodSignature signature = (MethodSignature) point.getSignature();
    String[] paramNames = signature.getParameterNames();

    // 获取目标方法的参数值
    Object[] args = point.getArgs();

    // 创建 Spring 表达式上下文,将参数名和对应的值绑定进去
    StandardEvaluationContext context = new StandardEvaluationContext();
    for (int i = 0; i < paramNames.length; i++) {
        context.setVariable(paramNames[i], args[i]);
    }

    // 解析 needDataScope 参数(SpEL 表达式),返回解析结果(Boolean 类型)
    return parser.parseExpression(controllerDataScope.needDataScope())
                 .getValue(context, Boolean.class);
}

🔎 什么是 SpEL?

名称说明
SpELSpring Expression Language,Spring 表达式语言
支持 #参数名 动态绑定参数
支持逻辑判断、三目表达式、方法调用等

常见场景:

@Cacheable(key = "#id")
@PreAuthorize("hasRole('ADMIN')")

📌 优势总结

优势说明
✅ 灵活根据实际需求动态决定是否校验权限逻辑
✅ 复用性强只维护一个方法版本,无需写多个重载函数
✅ 低侵入性不破坏原有业务逻辑,对已有接口完全兼容

🔚 结语

遇到问题,不慌不忙,先理解框架原理,再找优雅方案。

这次通过:

  • ✅ 注解扩展
  • ✅ 切面增强
  • ✅ SpEL 参数绑定

实现了优雅又实用的权限动态控制。

📌 觉得有帮助?点个 👍 收藏一下,分享给你身边的程序员吧 👏

若依项目里面的数据权限注解@DataScope 注解的实现原理 使用逻辑
一天不写代码难受的博客
10-16 5955
数据权限
若依框架@DataScope数据权限注解的使用自定义sql语句。拼接sql
qq_22905801的博客
07-29 2456
若依框架本身具有角色、部门、用户业务。在业务中,用户必须绑定一个角色,而角色又必须将自身绑定到部门,角色绑定了哪些部门,就决定着隶属于该角色的用户能对哪些部门数据进行增删改。那么,怎么实现让用户只能遵循其绑定角色所指定的部门,来进行数据范围控制呢?但是,在若依框架中,我们只需要在Service层的方法上加入@DataScope注解,并分别通过deptAlias和userAlias属性,指定出部门表和用户表在sql语句中的别名是什么的话,就不需要我们手动在sql语句后面加上过滤条件了。。...
ruoyi框架@DataScope注解使用
liudachu的博客
08-15 6000
通过报错信息,我们发现这么一句 WHERE (.dept_id ,说明sql语句中没有加别名,只要加上即可:select queue_id, queue_name from backup_queue_manage d。(1)mysql表sys_role中,有一个data_scope字段,该字段为角色对应的数据权限标识。(3)后台根据登录用户角色的dataScope动态的拼接sql语句,来进行数据范围的过滤。(1)打开角色管理菜单,创建角色,选择该角色可以查看的菜单权限。(3)、新增用户,并关联你的角色。..
深入分析若依数据权限@datascope注解+AOP+动态sql拼接) 【循序渐进,附分析过程】
热门推荐
m0_52134610的博客
04-12 3万+
笔者最近在努力的分析开源项目若依框架,今天看到了若依对数据权限进行控制的部分,自定义注解+AOP+动态SQL的注入,看的我是眼花缭乱,然后我又认真的复盘了一遍整个的实现过程,不由得感叹一句,若依YYDS~~ 简单猜测 除了我们平时都知道的 路由权限(即对接口的访问权限外),在日常生产开发中,我们还应该有对数据的访问权限。 在若依这个框架中,通过角色中的数据范围这个属性来对数据权限进行控制。 对应实体类: 深入分析 一个用户肯定是 有一种角色的,也肯定是隶属于一个部门的。 这里咱们就以用户在查询用
若依@DataScope
qq_36022463的博客
07-09 1365
DataScope 会定义两个值 ,, 第一个是 deptAlias ,,部门表的别名。userAlias : user表的别名。根据当前登录的用户的角色,,遍历每个角色的data_scope 属性,,根据这个属性,拼接sql,,,并且 将查出来的部门id,,和当前用户能操作的部门,进行过滤,,, 查出来的。这个表,,如果你查找的这个表,,没有和。在当前用户能操作的部门中,,就显示。不管怎么关联,,最后都会去 关联。直接关联的属性,,那么就需要关联。中的值,来设置数据该怎么过滤,,
若依学习(前后端分离版)——@DataScope(权限信息详解!!!)(RequestContextHolder)
hwp_ing的博客
03-05 3840
提醒,笔者所学习的若依为当前最新的3.8.5版本,在权限的部分做了一点优化,详情可以看作者的提交记录。这个后面会提到
在若依前后端分离引入通义千问实现多轮对话和流式输出 有数据表存储对话记录 有vue组件
03-22
嗯,用户想在若依框架里集成通义千问的API,实现多轮对话和流式...3. **敏感数据处理**:对话记录加密存储,使用若依的`@DataScope`注解实现数据权限 4. **性能监控**:集成RuoYi定时任务模块记录API响应时长和成功率
RuoYi-Cloud
xinyi_java的博客
09-27 4190
目录 介绍 快速了解 环境部署 项目介绍 后台手册 前端手册 功能组件 模板引擎 组件文档 插件集成 介绍 基于Spring Boot、Spring Cloud & Alibaba的微服务的权限管理系统。 RuoYi-Cloud 是一个 Java EE 分布式微服务架构平台,基于经典技术组合(Spring Boot、Spring Cloud & Alibaba、Vue、Element),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参
洛依微服务版本简单研究
小游
11-24 1819
项目地址 https://gitee.com/y_project/RuoYi-Cloud 系统部署 安装必要软件 JDK >= 1.8 (推荐1.8版本) Mysql >= 5.5.0 (推荐5.7版本) Redis >= 3.0 (这个是一个键值数据库) Maven >= 3.0 Node >= 10 nacos >= 1.1.0 (Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务
ruoyi若依框架@DataScope注解使用以及碰到的一些问题
weixin_43860634的博客
08-02 1万+
若依ruoyi框架@DataScope注解的使用,数据权限控制
Datascope:大型数据集的交互式链接可视查询系统
05-06
数据范围 我们提出了一种可视化和探索多维数据的环境。 我们提出了创建数据的新搜索界面的方法,以作为探索数据的另一种方法,创建可以扩展的动态仪表板,以使用诸如crossfilter和dc.js之类的Javascript库来支持数据探索。 此方法可扩展以支持来自其他远程归档的数据。 快速入门指南 (需要docker) 输入datascope目录(此目录) docker build -t datascope . docker run -p 3001:3001 datascope 在没有容器的情况下运行 先决条件 安装和 sudo npm install -g webpack sudo npm install -g forever (推荐用于生产部署的(可选)) sudo npm install -g apidoc 安装 克隆存储库 输入datascope目录(此目录) 通过```
若依框架中@DateScope注解实现数据权限
m0_75015491的博客
07-12 1715
最近工作中有这么一个需求:不同的商户登录后台只能查看自己机构的数据,通常是拼接sql语句但是在 若依框架有这样一个注解可以直接实现数据权限@DateScope(该注解是加在对应接口的impl类的对应方法上)
若依框架@DataScope数据权限注解的使用自定义sql语句。
硬核编程乐乐的博客
09-05 2万+
介绍 若依框架本身具有角色、部门、用户业务。 在业务中,用户必须绑定一个角色,而角色又必须将自身绑定到部门,角色绑定了哪些部门,就决定着隶属于该角色的用户能对哪些部门数据进行增删改。 那么,怎么实现让用户只能遵循其绑定角色所指定的部门,来进行数据范围控制呢? 一般情况下,假如我们对一张表要进行查询或更新的话,需要在sql语句中,where条件语法后面 加上 dept.id = {currentDeptId} 来进行过滤, 例如下面的sql语句: select * from sys_user where de
Ruo-yi框架@DataScope(deptAlias = “d“)详细介绍
weixin_42497376的博客
10-08 3669
在具体的应用中,常常需要对数据库中的数据进行权限控制,确保在不同的场景下只有符合条件的用户可以访问和修改相应的数据。@DataScope注解是在Ruo-yi框架中自定义的一个注解,用于通过拦截器的方式实现数据权限的过滤,从而保证用户只能访问其有权限访问的数据。通过在需要进行数据权限控制的方法上添加@DataScope注解,并设置相应的参数,即可实现对数据库中的数据进行权限过滤,确保只有符合条件的用户能够访问相应的数据,从而提高系统的安全性和可靠性。deptAlias:需要过滤的表别名,默认值为“d”;
ruoyi-vue版本(十五)rouyi-common 模块里面的 @DataScope数据权限注解相关的知识
一天不写代码难受的博客
03-30 806
就是通过aop ,注解,反射,实现功能的扩展,实现在实体类里面加一个动态的sql语句。
若依框架数据权限源码解析
世界在我口袋的博客
12-17 3042
结合注解标注的方法来看,下面注解标记的方法,只有一个SysUser类型的参数。一个车间[部门]的负责人[角色]只能查看自己车间的设备数据。生成代码(这步就不展示了可以参考我先前的文章)添加注解,并改造xml文件。
ruoyi若依 @DataScope(deptAlias = “d“, userAlias = “u“)不生效问题
weixin_48052655的博客
01-06 2920
debug时发现获取到的是方法的第一个参数request,并不是想要的查询参数requestDemo,不属于BaseEntity,所以会不赋值,导致没有拼接SQL语句,权限过滤不生效。
《深入分析若依数据权限@datascope注解+AOP+动态sql拼接) 【循序渐进,附分析过程】》
最新发布
03-31
### 若依框架数据权限实现原理 #### 1. @DataScope 注解的作用 @DataScope 是若依框架中用于实现数据权限的核心注解之一。它通过定义部门表别名 (`deptAlias`) 和用户表别名 (`userAlias`) 来指定 SQL 查询中的关联字段[^2]。 该注解的主要功能如下: - 提供灵活的配置选项,允许开发者自定义部门和用户的表别名。 - 在方法级别标注,明确哪些查询需要进行数据权限过滤。 #### 2. AOP 切面拦截逻辑 AOP(Aspect-Orientated Programming)是 Spring 框架的重要特性之一,在若依的数据权限实现中起到了关键作用。当某个服务方法被标记为 `@DataScope` 后,AOP 切面会自动拦截这些方法调用,并动态修改其对应的 SQL 查询语句[^4]。 具体流程如下: - **切点匹配**:通过扫描带有 `@DataScope` 注解的方法,将其纳入到 AOP 的处理范围。 - **参数解析**:提取注解中的属性值(如 `deptAlias` 和 `userAlias`),并结合当前登录用户的权限信息生成动态 SQL 片段。 - **SQL 修改**:将生成的动态 SQL 插入到原始查询语句中,从而完成数据权限的过滤。 以下是典型的 AOP 切面代码片段: ```java @Aspect @Component public class DataScopeAspect { @Around("@annotation(dataScope)") public Object around(ProceedingJoinPoint point, DataScope dataScope) throws Throwable { // 获取当前用户的角色ID或其他权限标识 Set<Long> roleIds = SecurityUtils.getRoleList(); // 构建动态SQL StringBuilder sqlString = new StringBuilder(); if (roleIds.contains(RoleConstants.ADMIN_ROLE_ID)) { // 超级管理员不过滤任何数据 sqlString.append(" AND 1=1 "); } else { // 根据角色构建具体的过滤条件 sqlString.append(" AND ").append(dataScope.deptAlias()).append(".id IN (...) "); } // 将动态SQL注入到参数中 Map<String, Object> params = (Map<String, Object>) point.getArgs()[0]; params.put("dataScope", sqlString.toString()); return point.proceed(); } } ``` 上述代码展示了如何利用 AOP 技术捕获带 `@DataScope` 注解的服务方法,并向其中注入动态生成的 SQL 字符串[^3]。 #### 3. 动态 SQL 拼接机制 在 MyBatis 中,最终执行的 SQL 并不是直接写死在 Mapper 文件里的静态部分,而是可以通过传递额外的参数来扩展或替换某些子句。这种灵活性使得动态 SQL 成为了可能。 例如,在若依项目的 Mapper XML 文件中可能会看到这样的占位符: ```xml <select id="selectUserList" parameterType="map" resultType="com.ruoyi.system.domain.SysUser"> SELECT u.* FROM sys_user u LEFT JOIN sys_dept d ON u.dept_id = d.id WHERE 1=1 ${dataScope} </select> ``` 这里的 `${dataScope}` 即是由 AOP 切面计算得出的具体过滤条件字符串。这样设计的好处在于既保持了原有 SQL 结构清晰易读,又实现了高度可定制化的权限控制需求。 --- ### 总结 综上所述,若依框架通过对 `@DataScope` 自定义注解的支持、借助 Spring AOP 对目标方法实施横切关注以及巧妙运用 MyBatis 的动态 SQL 特性三者相结合的方式完成了复杂而高效的数据权限管理方案[^1][^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值