全局数据拦截器兼容分页含sql权限控制

已于 2022-05-11 18:20:31 修改
阅读量501 收藏 2
点赞数
文章标签: sql java 数据库
于 2022-05-11 11:55:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35490522/article/details/124706802
版权
本文介绍了如何使用全局数据拦截器DataAuthInterceptor,配合Mybatis插件,实现在执行SQL前根据用户权限动态修改SQL,以实现数据访问权限控制。涉及角色映射、SQL解析和权限规则的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

package com.theiavis.workhour.common.Interceptor;


import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.theiavis.security.jwt.UserOperator;
import com.theiavis.workhour.common.utils.StringUtils;
import com.theiavis.workhour.project.dataAuth.bean.DataAuth;
import com.theiavis.workhour.project.dataAuth.mapper.DataAuthMapper;
import com.theiavis.workhour.project.dingtalk.bean.Dept;
import com.theiavis.workhour.project.dingtalk.mapper.DeptMapper;
import com.theiavis.workhour.project.system.role.bean.UserRole;
import com.theiavis.workhour.project.system.role.mapper.UserRoleMapper;
import net.sf.jsqlparser.JSQLParserException;
import net.sf.jsqlparser.expression.operators.conditional.AndExpression;
import net.sf.jsqlparser.parser.CCJSqlParserManager;
import net.sf.jsqlparser.parser.CCJSqlParserUtil;
import net.sf.jsqlparser.schema.Table;
import net.sf.jsqlparser.statement.select.PlainSelect;
import net.sf.jsqlparser.statement.select.Select;
import org.apache.ibatis.executor.statement.StatementHandler;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.mapping.ParameterMapping;
import org.apache.ibatis.plugin.*;
import org.apache.ibatis.reflection.DefaultReflectorFactory;
import org.apache.ibatis.reflection.MetaObject;
import org.apache.ibatis.reflection.SystemMetaObject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Lazy;
import org.springframework.stereotype.Component;

import java.io.StringReader;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.sql.Connection;
import java.util.ArrayList;
import java.util.List;
import java.util.Properties;

/**全局数据拦截器
 * @author lyh
 */
@Component
@Intercepts({

        @Signature(
                type = StatementHandler.class, method = "prepare", args = {
                Connection.class, Integer.class
        })
})
public class DataAuthInterceptor implements Interceptor {
    private static final Logger logger = LoggerFactory.getLogger(DataAuthInterceptor.class);
    /**
     * 表名占位符
     */
    private static final String TABLE_NAME = "#{TABLE_NAME}";
    /**
     * 部门id占位符
     */
    private static final String Permit_Code = "#{PermitCode}";

    @Autowired
    DataAuthMapper dataAuthMapper;


    @Autowired
    @Lazy
    UserOperator userOperator;

    @Autowired
    @Lazy
    UserRoleMapper userRoleMapper;

    @Autowired
    @Lazy
    DeptMapper deptMapper;

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        StatementHandler statementHandler = (StatementHandler) invocation.getTarget();
        //获取拦截下的mapper
        MetaObject metaObject = MetaObject.forObject(statementHandler, SystemMetaObject.DEFAULT_OBJECT_FACTORY,
                SystemMetaObject.DEFAULT_OBJECT_WRAPPER_FACTORY, new DefaultReflectorFactory());
        MappedStatement mappedStatement = (MappedStatement) metaObject.getValue("delegate.mappedStatement");
        MybatisPlusInterceptor dataAuth = getDataAuth(mappedStatement);

        //没有注解直接放行,可根据情况补充更多的业务逻辑
        if (dataAuth == null) {
            return invocation.proceed();
        }
        BoundSql boundSql = statementHandler.getBoundSql();
        String orgSql = boundSql.getSql(); //获取到当前需要被执行的SQL
        //根据指定权限点对原有sql进行修改
        List<ParameterMapping> parameterMappings = boundSql.getParameterMappings();
        Object parameterObject = boundSql.getParameterObject();
        String sql = modifyOrgSql(orgSql, dataAuth, parameterMappings, parameterObject);
        try {
            //通过反射修改sql语句
            Field field = boundSql.getClass().getDeclaredField("sql");
            field.setAccessible(true);
            field.set(boundSql, sql);
            logger.info("修改后的sql" + boundSql.getSql());
        } catch (Exception e) {
            e.printStackTrace();
        }
        return invocation.proceed();
    }


    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {
        // TODO Auto-generated method stub
    }

    /**
     * 通过反射获取mapper方法是否加了数据拦截注解
     */
    private MybatisPlusInterceptor getDataAuth(MappedStatement mappedStatement) throws ClassNotFoundException {
        MybatisPlusInterceptor dataAuth = null;
        String id = mappedStatement.getId();
        String className = id.substring(0, id.lastIndexOf("."));
        String methodName = id.substring(id.lastIndexOf(".") + 1);
        final Class<?> cls = Class.forName(className);
        final Method[] methods = cls.getMethods();
        for (Method method : methods) {
            if (method.getName().equals(methodName) && method.isAnnotationPresent(MybatisPlusInterceptor.class)) {
                dataAuth = method.getAnnotation(MybatisPlusInterceptor.class);
                break;
            }
        }
        return dataAuth;
    }

    /**
     * 根据权限点拼装对应sql
     *
     * @return 拼装后的sql
     */
    private String modifyOrgSql(String orgSQql, MybatisPlusInterceptor mybatisPlusInterceptor, List<ParameterMapping> parameterMappings, Object parameterObject) throws JSQLParserException {
        String authSql = dataAuthMapper.selectOne(new QueryWrapper<DataAuth>().eq("auth_role", mybatisPlusInterceptor.roleId())).getAuthSql();
        if (authSql == null || authSql.isEmpty()) {
            return orgSQql;
        }
        //使用CCJSqlParserUtil对sql进行解析
        CCJSqlParserManager parserManager = new CCJSqlParserManager();
        Select select = (Select) parserManager.parse(new StringReader(orgSQql));
        PlainSelect plain = (PlainSelect) select.getSelectBody();
        Table fromItem = (Table) plain.getFromItem();
        //有别名用别名,无别名用表名,防止字段冲突报错
        String aliasTableName = fromItem.getAlias() == null ? fromItem.getName() : fromItem.getAlias().getName();
        //获取个人数据范围部门id
        List<UserRole>deptId=userRoleMapper.selectList(new QueryWrapper<UserRole>().eq("ding_talk_user_id",userOperator.getUser().getUserId()));
        //根据部门id->个人部门id权限码列表
        List<String> arrayList=new ArrayList<String>();
        deptId.forEach(i->{
            Dept deptPermitCode=deptMapper.selectOne(new QueryWrapper<Dept>().eq("id",i.getDeptId()));
            arrayList.add(deptPermitCode.getPermitCode());
        });
        logger.info("获取到用户标识为" + userOperator.getUser().getUserId()+"用户权限为"+userOperator.getUser().getPermitCode());
        String modifSql=new String();
        for (int i=0; i<arrayList.size();i++){
            if (StringUtils.isEmpty(modifSql)){
                modifSql = authSql.replace(TABLE_NAME, aliasTableName).replace(Permit_Code, arrayList.get(i));
                parseSql( modifSql, plain);
            }else {
                modifSql = authSql.replace(TABLE_NAME, aliasTableName).replace(Permit_Code, arrayList.get(i));
                parseSql( modifSql, plain);
            }

        }
        logger.info("修改后sql"+select.toString());
        return select.toString();
    }


    /**
     * 解析sql
     * @param sql
     * @param plain
     * @return
     * @throws JSQLParserException
     */
    public PlainSelect  parseSql(String sql,PlainSelect plain) throws JSQLParserException {
        if (plain.getWhere() == null) {
            plain.setWhere(CCJSqlParserUtil.parseCondExpression(sql));
        } else {

            plain.setWhere(new AndExpression(plain.getWhere(), CCJSqlParserUtil.parseCondExpression(sql)));
        }
        return plain;
    }
}


DROP TABLE IF EXISTS `data_auth`;
CREATE TABLE `data_auth`  (
  `id` int NOT NULL AUTO_INCREMENT,
  `auth_name` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '数据权限名称',
  `auth_sql` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '执行aop权限',
  `auth_role` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '角色权限sys_role->role_id',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 7 CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = DYNAMIC;

SET FOREIGN_KEY_CHECKS = 1;
hooking_parse
关注
执行sql日志打印拦截器实现
陈家豪的博客
07-26 467
添加拦截器 @Slf4j @Intercepts(value = { @Signature(type = Executor.class, method = "update", args = {MappedStatement.class, Object.class}), @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBound
面试官:springboot如何全局控制分页查询条数
猿脑2.0的博客
06-17 282
在Spring Boot应用程序中,全局控制分页查询条数可以通过多种方式实现。
Mybatis-Plus通过全局拦截实现查询SQL根据创建时间排序(create_time)
xiaosong2001的博客
09-05 1083
Mybatis-Plus通过全局拦截实现查询SQL根据创建时间排序(create_time)
mybatis sql拦截 方法做java 数据权限(应公司要求,写个方案,记录在这里)
一念轮回君千殇的博客
08-20 1504
数据权限,一般就是作用于查询,规定用户能看到哪些数据。本次案例以通用的 本人,本部门,本公司,全部 来做,具体可以根据自己业务来灵活处理。 一.数据权限要设置到角色上(但要注意,一个用户可能是有多个角色的,对于某个模块的数据权限,要去角色中最高等级的权限) 1.定义数据权限类型,即哪些模块需要加数据权限。比如:员工模块 权限范围: 2.在后台管理操作上,对应数据权限的设置,模块信息就是从这里取的,然后进行设置保存到数据库。当然,此模块也可以做成数据保存到数据库。 3.后台保存后,会将...
简单拦截器
GhostSugar
05-27 571
拦截器可以分别通过继承下面的接口实现拦截的功能,下面这两个比MethodInterceptor先执行。实现一个HandlerInterceptor拦截器可以直接实现HandlerInterceptor接口,也可以继承HandlerInterceptorAdapter类。这两种方法殊途同归,其实HandlerInterceptorAdapter也就是声明了HandlerInterceptor接口中所...
Springboot如何使用mybatis实现拦截SQL分页
08-19
主要介绍了Springboot使用mybatis实现拦截SQL分页,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Mybatis拦截器修改sql语句
热门推荐
宿久
10-05 3万+
拦截器介绍 MyBatis提供了一种插件(plugin)的功能,虽然叫做插件,但其实这是拦截器功能。 MyBatis 允许你在已映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括: Executor (update, query, flushStatements, commit, rollback, getTransaction, close...
mybatis分页拦截器
最新发布
01-22
### 关于 MyBatis 分页拦截器的实现与用法 #### 描述分页拦截器的作用及其重要性 MyBatis 是一种流行的持久层框架,它支持定制化 SQL 查询、存储过程以及高级映射功能。为了提高数据库查询效率并优化用户体验,在...
MyBatis拦截器分页原理及PageHelper分页插件教学
jant的博客
04-10 4615
闲来无事,特地整理了一下MyBatis拦截器实现分页的原理。地球人应该都知道要利用JDBC对数据库进行操作,就需要一个statement对象,MyBatis也是如此。MyBatis在执行sql语句前会产生一个包sql语句的Statement对象,而且对应的sql语句是在Statement之前产生的,所以我们就可以在MyBatis生成Statement之前对这个sql下手,分页本质上是sql lim
mybatis拦截器实现foruo-sc-permission-V1.0数据权限管理
描述还指出,技术上选择了从MyBatis的拦截器入手,来实现分页处理和数据权限管理。MyBatis拦截器是一种强大的机制,允许开发者在MyBatis执行SQL语句之前或之后拦截和修改SQL。它能够提供一个全局的方式来调整MyBatis...
拦截器简单实现
凉风有信
11-02 300
拦截器类 //继承AbstractInterceptor类 public class MyTimerInterceptor extends AbstractInterceptor{  //重写intercept方法   publicString intercept(ActionInvocation invocation)   throwsException {   //预处理工
如何在mybatis-plus的拦截器中获取QueryWrapper中的参数值和名称
qq_41233673的博客
12-30 4021
mybatis-plusl拦截器加解密
MyBatisPlus总结
m0_60027772的博客
08-30 9978
需要合适的方案去应对数据规模的增长,以应对逐渐增长的访问压力和数据量业务分库、主从复制、数据库分表数据库分表的两种方式垂直分表水平分表//自定义接口://mybatisplus提供的分页对象,必须为于第一个参数的位置//自定义配置文件sql//测试类//获取当前页数据//获取总记录数//获取总页数//是否有下一页//是否有上一页。...
利用AOP实现SqlSugar自动事务
weixin_30394633的博客
10-25 968
先看一下效果,带接口层的三层架构: BL层: public class StudentBL : IStudentService { private ILogger mLogger; private readonly IStudentDA mStudentDa; private readonly IValueService ...
过滤器(Filter)和拦截器(Interceptor)的区别
weixin_30664615的博客
01-04 6264
Filter介绍 Filter可以认为是Servlet的一种“加强版”,它主要用于对用户请求进行预处理,也可以对HttpServletResponse进行后处理,是个典型的处理链。Filter也可以对用户请求生成响应,这一点与Servlet相同,但实际上很少会使用Filter向用户请求生成响应。使用Filter完整的流程是:Filter对用户请求进行预处理,接着将请求交给Servle...
拦截器实现权限控制
weixin_55666891的博客
08-03 1248
SpringBoot使用拦截器实现操作权限检查
用mybatis 拦截器实现数据权限
mark's technic world
12-29 1万+
@Intercepts( { @Signature(type = Executor.class, method = "query", args = { MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class }) }) public class DataAuthorityInterceptor im
数据权限管理中心 - 基于mybatis拦截器实现
longguo321的博客
04-26 6175
数据权限管理中心由于公司大部分项目都是使用mybatis,也是使用mybatis的拦截器进行分页处理,所以技术上也直接选择从拦截器入手需求场景第一种场景:行级数据处理原sql:select id,username,region from sys_user ;需要封装成:select * from ( select id,username,region from sys_user ) wh...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值