java 数据权限控制_数据权限-数据列权限设计方案

最新推荐文章于 2025-10-28 03:30:13 发布
原创 最新推荐文章于 2025-10-28 03:30:13 发布 · 8.2k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java 数据权限控制

本文介绍了如何在Java项目中实现数据权限控制,特别是数据列权限的设计方案。通过使用Mybatis作为ORM框架,结合JSQLParser库,实现对SQL查询的拦截和过滤,动态移除用户无权限查看的字段。文章详细讲解了配置、插件实现和拦截SQL的处理过程。

前言

项目实践中,基本都会有权限的需求,权限需求分为两大块:1、功能权限;2、数据权限。而数据权限又可在行和列上细分为两块,即数据范围权限:用户能看到哪些行的记录;数据字段权限:用户能看到这些行对应的哪些字段。本文以字段权限为例做一个demo展示。

方案

字段权限方案也有很多种,这里采用配置无权限字段,在sql查询前,对sql进行拦截过滤,剔除无权限字段。

框架

这里采用mybatis作为ORM框架。

配置

配置pom依赖

org.mybatis.spring.boot

mybatis-spring-boot-starter

2.0.0

com.github.jsqlparser

jsqlparser

1.2

yml配置

spring:

proifles: dev

#据源配置

datasource:

name: test

url: jdbc:mysql://xxx:3306/xxx?useUnicode=true&characterEncoding=UTF8&zeroDateTimeBehavior=convertToNull&serverTimezone=Asia/Shanghai

username: root

password: xxx

# 使用druid数据源

type: com.alibaba.druid.pool.DruidDataSource

driver-class-name: com.mysql.jdbc.Driver

# 注意:一定要对应mapper映射xml文件的所在路径

mybatis:

mapper-locations: classpath:mybatis/mapper/*.xml

#注意:对应实体类的路径

type-aliases-package: com.xxx.model

#mybatis 配置路径

config-location: classpath:mybatis/mybatis-config.xml

plugin配置

配置mybatis-config.xml

/p>

"http://mybatis.org/dtd/mybatis-3-config.dtd">

插件实现

import java.lang.reflect.Field;

import java.util.ArrayList;

import java.util.Iterator;

import java.util.List;

import java.util.Properties;

import org.apache.ibatis.executor.Executor;

import org.apache.ibatis.mapping.BoundSql;

import org.apache.ibatis.mapping.MappedStatement;

import org.apache.ibatis.plugin.Interceptor;

import org.apache.ibatis.plugin.Intercepts;

import org.apache.ibatis.plugin.Invocation;

import org.apache.ibatis.plugin.Plugin;

import org.apache.ibatis.plugin.Signature;

import org.apache.ibatis.session.ResultHandler;

import org.apache.ibatis.session.RowBounds;

import net.sf.jsqlparser.JSQLParserException;

import net.sf.jsqlparser.parser.CCJSqlParserUtil;

import net.sf.jsqlparser.statement.Statement;

import net.sf.jsqlparser.statement.Statements;

import net.sf.jsqlparser.statement.select.PlainSelect;

import net.sf.jsqlparser.statement.select.Select;

import net.sf.jsqlparser.statement.select.SelectBody;

import net.sf.jsqlparser.statement.select.SelectExpressionItem;

import net.sf.jsqlparser.statement.select.SelectItem;

//指定连接的方法

@Intercepts(@Signature(type = Executor.class, method = "query", args = { MappedStatement.class, Object.class,

RowBounds.class, ResultHandler.class }))

public class DataAuthorInterceptor implements Interceptor {

private Properties properties;

@Override

public Object intercept(Invocation invocation) throws Throwable {

final Object[] args = invocation.getArgs();

MappedStatement ms = (MappedStatement)args[0];

Object parameterObject = args[1];

BoundSql boundSql = ms.getBoundSql(parameterObject);

//获取初始sql

String originSql = boundSql.getSql();

//修改sql

String changeSql = parseSql(originSql);

Field field = boundSql.getClass().getDeclaredField("sql");

field.setAccessible(true);

field.set(boundSql, changeSql);

return invocation.proceed();

}

//解析SQL,根据数据权限,去除没有权限的字段

private String parseSql(String sql) {

List blockList = getBlockCols();

StringBuffer newSql = new StringBuffer();

try {

//解析sql 获得结构化statement

Statements s = CCJSqlParserUtil.parseStatements(sql);

//对每一个statement

for(Statement st : s.getStatements()) {

if(null != st) {

//查询sql处理

if(st instanceof Select) {

SelectBody selectBody = ((Select) st).getSelectBody();

if(selectBody instanceof PlainSelect) {

Iterator it = ((PlainSelect) selectBody).getSelectItems().iterator();

//遍历查询字段

while(it.hasNext()) {

SelectItem si = it.next();

if(si instanceof SelectExpressionItem) {

for(String str : blockList) {

//查询字段同 权限隐藏字段匹配 则从查询中移除

if(si.toString().contains(str)) {

it.remove();

}

}

}

}

}

//return ((Select) st).getSelectBody().toString();

}

newSql.append(st + ";");

}

}

} catch (JSQLParserException e) {

e.printStackTrace();

}

return newSql.toString();

}

//解析sql结构体

private List getBlockCols(){

List l = new ArrayList();

l.add("a");

l.add("b1");

return l;

}

@Override

public Object plugin(Object target) {

return Plugin.wrap(target, this);

}

@Override

public void setProperties(Properties properties) {

this.properties = properties;

}

public static void main(String[] args) {

String sql = "select a, b, c from table1";

String sql2 = "select a, b, c from (select e as a, f as b, g as c from table1)";

String sql3 = "select a as a1, b b1, c from table3 as t3, (select e as a, f as b from table1) , (select g as c from table2)";

String sql4 = "select c.vin8, (select auto_brand from vin_base b where b.vin8 = c.vin8)\n" +

"from vin_base c where c.vin8 = '72753413' ";

String sql5 = "select a, b from table1 union select c, d from table2;";

String changeSql = new DataAuthorInterceptor().parseSql(sql5);

System.out.println("changeSql>>>>>>>>" + changeSql);

}

}

到这里,完成了对sql的拦截修改。

总结

1、配置:pom.xml依赖配置、yaml应用配置、插件配置、插件实现。

2、以上示例仅对一般查询及子查询做了处理,对与union查询,需要再实现。

拦截处理,是一种很好的设计思路,可以对相同处理方式进行组件化,并在应用中,避免侵入式,从而做到润物无声。

本文地址:https://blog.youkuaiyun.com/weixin_42005602/article/details/107151625

如您对本文有疑问或者有任何想说的,请点击进行留言回复,万千网友为您解惑!

java 项目通用数据权限设计
学海无涯,我用JAVA
05-15 2762
权限一般分为操作权限和数据权限操作权限: 菜单,页面,按钮数据权限: 能看到的数据,包括各种页面的数据范围这里不做扩展,其实这里仅仅是最简单的方式,即直接通过限制表达到对于业务表的数据过滤,那么其实我们还可以通过其他方式限制;通过字典组限制,那么exists内部在拼接之前可能需要二次处理;通过sql语句配置限定条件,那么我们需要拼接sql语句,甚至当sql语句中有变量,我们需要解析后,再拼接到sql片段中;
Java权限管理的两种实现方式
HackDashX的博客
10-02 2254
基于角色的权限管理和基于资源的权限管理是实现Java权限管理的两种常见方式。基于角色的权限管理将权限授予角色,然后将角色分配给用户。除了基于角色的权限管理,还可以使用基于资源的权限管理。基于资源的权限管理是指为每个资源定义特定的权限,然后将这些权限授予用户。基于角色的权限管理是指将权限授予特定的角色,然后将角色分配给用户。每个角色都具有一组特定的权限,用户通过分配给他们的角色来获得相应的权限。在Java中,有多种方法可以实现权限管理,其中一种常见的方式是基于角色的权限管理。方式一:基于角色的权限管理。
数据权限设计思路_产品权限设计——首先区分功能权限和数据权限
weixin_39530647的博客
11-26 2335
产品权限设计——首先区分功能权限和数据权限权限管理系统是2B类产品必不可少的产品功能,牵涉整个产品的使用。权限管理功能不同的客户组织架构是完全不同的,功能的复用性很低,如何设计出高质量的权限管理功能是验证B端产品易用性的重要指标。我们一般说权限的时候是在说功能权限和数据权限。功能权限指用户登陆系统后能看到什么模块,能看到哪些页面,而数据权限指的是用户在某个模块里能看到几条数据,能看到哪些数据。功能...
hsweb-framework数据权限:行级权限与列级权限控制实现
最新发布
gitblog_00774的博客
10-28 1001
在企业级应用开发中,数据权限控制是保障数据安全的核心环节。hsweb-framework作为基于Spring Boot 2.x的全响应式企业级后台管理系统基础项目,提供了灵活的数据权限解决方案,支持行级权限(控制哪些数据可见)和列级权限(控制哪些字段可见)的精细化管理。本文将从实际应用场景出发,详解hsweb-framework数据权限实现机制与配置方法。 ## 数据权限控制体系 hsweb...
Java利用Mybatis进行数据权限控制
陈晨_软件五千言
06-06 9684
权限控制主要分为两块,认证(Authentication)与授权(Authorization)。认证之后确认了身份正确,业务系统就会进行授权,现在业界比较流行的模型就是RBAC(Role-Based Access Control)。RBAC包含为下面四个要素:用户、角色、权限、资源。用户是源头,资源是目标,用户绑定至角色,资源与权限关联,最终将角色与权限关联,就形成了比较完整灵活的权限控制模型。 ...
java项目中数据权限实现思路
weixin_41532316的博客
09-28 2892
基于RBAC模型的一种数据权限实现思路
java_db.rar_数据字典_数据库 权限_权限 数据
09-23
总之,"java_db.rar_数据字典_数据库 权限_权限 数据库"这个压缩包中的文档很可能是关于一个Java权限管理系统的数据设计方案,包含了数据字典信息以及权限控制的详细描述。这样的设计对于保证系统的安全性、稳定性...
【SpringBoot】94、SpringBoot中使用MyBatis-Plus实现数据权限管理
热门推荐
Asurplus
06-13 3万+
数据权限是指在特定场景下,对数据的访问、使用、共享等操作的权限。它涉及到系统用户能看到哪些范围内的数据,以及这些用户如何操作这些数据
数据权限-数据列权限设计方案-mybatis(BoundSql)
weixin_42005602的博客
07-06 3026
前言 项目实践中,基本都会有权限的需求,权限需求分为两大块:1、功能权限;2、数据权限。而数据权限又可在行和列上细分为两块,即数据范围权限:用户能看到哪些行的记录;数据字段权限:用户能看到这些行对应的哪些字段。本文以字段权限为例做一个demo展示。 方案 字段权限方案也有很多种,这里采用配置无权限字段,在sql查询前,对sql进行拦截过滤,剔除无权限字段。 框架 这里采用mybatis作为ORM框架。 配置 配置pom依赖 <!-- mybatis --> <dep
【D3S】数据权限 - 基于Mybatis的数据权限拦截器实现
罗小爬的技术宝书
07-02 2241
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
Java,设计,功能权限和数据权限,用户、角色、权限和用户组
zhaohuodian的博客
08-28 1万+
ACL是一种访问控制机制,包含三个关键要素:用户(User)、资源(Resource)和操作(Operate),当用户请求操作资源时,检查资源的权限列表,如果资源的权限列表中存在该用户的操作权限则允许,否则拒绝。RBAC模型,三个基础组成部分:用户(User)、角色(Role)和权限(Privilege),通过定义角色的权限,授予用户某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型);...
Java如何利用Mybatis进行数据权限控制详解
08-25
主要介绍了Java如何利用Mybatis进行数据权限控制详解,数据权限控制最终的效果是会要求在同一个数据请求方法中,根据不同的权限返回不同的数据集,而且无需并且不能由研发编码控制。,需要的朋友可以参考下
Java 权限管理系统数据库设计(实用)
09-27
Java 权限管理系统数据库设计(实用)
通用权限管理系统java权限处理及其实现思路
08-05
通用权限管理系统java权限处理及其实现思路
数据权限设计思路_通用数据权限的思考与设计
weixin_39556474的博客
11-20 1481
作者:_liuxxhttp://cnblogs.com/liuyh/p/9774998.html1、数据权限概述1.1、什么是数据权限数据权限是指对系统用户进行数据资源可见性的控制,通俗的解释就是:符合某条件的用户只能看到该条件下对应的数据资源。那么最简单的数据权限大概就是:用户只能看到自己的数据。而在正式的系统环境中,会有很多更为复杂的数据权限需求场景,如:领导需要看到所有下属员工的客户数据,...
JAVA WEB项目中的功能权限和数据权限设计
cyh的博客
02-01 4793
功能权限 1.介绍 每个controller接口,对应权限表一条记录。项目启动时,通过springmvc提供的类,可以获取到有权限注解的方法,从而构造权限对象,插入数据库。 2.代码 接口注解 权限初始化类 @Component @Slf4j public class FunInitConfig implements CommandLineRunner { @Autowired private BdpFuncMapper bdpFuncMapper; @Autowired
java(springboot) mybatis 数据权限详细实现(图文)
cyy9487的博客
05-18 1万+
一、啥子是数据权限? 嗯,数据权限?有些朋友可能会问了,“嗯,数据还有权限?”.
java 数据权限控制_Java利用Mybatis进行数据权限控制
weixin_31491059的博客
02-13 776
权限控制主要分为两块,认证(Authentication)与授权(Authorization)。认证之后确认了身份正确,业务系统就会进行授权,现在业界比较流行的模型就是RBAC(Role-Based Access Control)。RBAC包含为下面四个要素:用户、角色、权限、资源。用户是源头,资源是目标,用户绑定至角色,资源与权限关联,最终将角色与权限关联,就形成了比较完整灵活的权限控制模型。资...
权限设计的杂谈
chengyang1086的博客
08-01 532
权限设计的杂谈 这篇文章的定位,不是宣传某个框架,仅仅之是梳理一下有关权限方面的一些想法和最近项目中的一些探索过程。 我们主要想解决一下问题。 什么是权限,程序员理解的权限和客户所理解的权限是不是一致的。 权限的划分原则,权限到底是根据什么原则进行组合的。 角色是用户与权限之间的必要的关系吗...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值