前端的菜單和按鈕權限都可以通過配置來實現(xiàn),但很多時候,后臺查詢數(shù)據(jù)庫數(shù)據(jù)的權限需要通過手動添加SQL來實現(xiàn)。
比如員工打卡記錄表,有 id、name、dpt_id、company_id 等字段,后兩個表示部門 ID 和分公司 ID。
查看員工打卡記錄 SQL 為:select id,name,dpt_id,company_id from t_record
當一個總部賬號可以查看全部數(shù)據(jù)此時,sql 無需改變。因為他可以看到全部數(shù)據(jù)。
當一個部門管理員權限員工查看全部數(shù)據(jù)時,sql 需要在末屬添加 where dpt_id = #{dpt_id}
如果每個功能模塊都需要手動寫代碼去拿到當前登陸用戶的所屬部門,然后手動添加where條件,就顯得非常的繁瑣。
因此,可以通過 mybatis 的攔截器拿到查詢 sql 語句,再自動改寫 sql。
mybatis 攔截器
MyBatis 允許你在映射語句執(zhí)行過程中的某一點進行攔截調(diào)用。默認情況下,MyBatis 允許使用插件來攔截的方法調(diào)用包括:
Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)
ParameterHandler (getParameterObject, setParameters)
ResultSetHandler (handleResultSets, handleOutputParameters)
StatementHandler (prepare, parameterize, batch, update, query)
這些類中方法的細節(jié)可以通過查看每個方法的簽名來發(fā)現(xiàn),或者直接查看 MyBatis 發(fā)行包中的源代碼。如果你想做的不僅僅是監(jiān)控方法的調(diào)用,那么你最好相當了解要重寫的方法的行為。因為在試圖修改或重寫已有方法的行為時,很可能會破壞 MyBatis 的核心模塊。這些都是更底層的類和方法,所以使用插件的時候要特別當心。
通過 MyBatis 提供的強大機制,使用插件是非常簡單的,只需實現(xiàn) Interceptor 接口,并指定想要攔截的方法簽名即可。
分頁插件 pagehelper 就是一個典型的通過攔截器去改寫 SQL 的。
可以看到它通過注解 @Intercepts 和簽名 @Signature 來實現(xiàn),攔截 Executor 執(zhí)行器,攔截所有的 query 查詢類方法。
我們可以據(jù)此也實現(xiàn)自己的攔截器。
importcom.skycomm.common.util.user.Cpip2UserDeptVo; importcom.skycomm.common.util.user.Cpip2UserDeptVoUtil; importlombok.extern.slf4j.Slf4j; importorg.apache.commons.lang3.StringUtils; importorg.apache.ibatis.cache.CacheKey; importorg.apache.ibatis.executor.Executor; importorg.apache.ibatis.mapping.BoundSql; importorg.apache.ibatis.mapping.MappedStatement; importorg.apache.ibatis.mapping.SqlSource; importorg.apache.ibatis.plugin.Interceptor; importorg.apache.ibatis.plugin.Intercepts; importorg.apache.ibatis.plugin.Invocation; importorg.apache.ibatis.plugin.Signature; importorg.apache.ibatis.session.ResultHandler; importorg.apache.ibatis.session.RowBounds; importorg.springframework.stereotype.Component; importorg.springframework.web.context.request.RequestAttributes; importorg.springframework.web.context.request.RequestContextHolder; importorg.springframework.web.context.request.ServletRequestAttributes; importjavax.servlet.http.HttpServletRequest; importjava.lang.reflect.Method; @Component @Intercepts({ @Signature(type=Executor.class,method="query",args={MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class}), @Signature(type=Executor.class,method="query",args={MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class,CacheKey.class,BoundSql.class}), }) @Slf4j publicclassMySqlInterceptorimplementsInterceptor{ @Override publicObjectintercept(Invocationinvocation)throwsThrowable{ MappedStatementstatement=(MappedStatement)invocation.getArgs()[0]; Objectparameter=invocation.getArgs()[1]; BoundSqlboundSql=statement.getBoundSql(parameter); StringoriginalSql=boundSql.getSql(); ObjectparameterObject=boundSql.getParameterObject(); SqlLimitsqlLimit=isLimit(statement); if(sqlLimit==null){ returninvocation.proceed(); } RequestAttributesreq=RequestContextHolder.getRequestAttributes(); if(req==null){ returninvocation.proceed(); } //處理request HttpServletRequestrequest=((ServletRequestAttributes)req).getRequest(); Cpip2UserDeptVouserVo=Cpip2UserDeptVoUtil.getUserDeptInfo(request); StringdepId=userVo.getDeptId(); Stringsql=addTenantCondition(originalSql,depId,sqlLimit.alis()); log.info("原SQL:{},數(shù)據(jù)權限替換后的SQL:{}",originalSql,sql); BoundSqlnewBoundSql=newBoundSql(statement.getConfiguration(),sql,boundSql.getParameterMappings(),parameterObject); MappedStatementnewStatement=copyFromMappedStatement(statement,newBoundSqlSqlSource(newBoundSql)); invocation.getArgs()[0]=newStatement; returninvocation.proceed(); } /** *重新拼接SQL */ privateStringaddTenantCondition(StringoriginalSql,StringdepId,Stringalias){ Stringfield="dpt_id"; if(StringUtils.isNoneBlank(alias)){ field=alias+"."+field; } StringBuildersb=newStringBuilder(originalSql); intindex=sb.indexOf("where"); if(index0)?{ ????????????sb.append("?where?")?.append(field).append("?=?").append(depId); ????????}?else?{ ????????????sb.insert(index?+?5,?"?"?+?field?+"?=?"?+?depId?+?"?and?"); ????????} ????????return?sb.toString(); ????} ????private?MappedStatement?copyFromMappedStatement(MappedStatement?ms,?SqlSource?newSqlSource)?{ ????????MappedStatement.Builder?builder?=?new?MappedStatement.Builder(ms.getConfiguration(),?ms.getId(),?newSqlSource,?ms.getSqlCommandType()); ????????builder.resource(ms.getResource()); ????????builder.fetchSize(ms.getFetchSize()); ????????builder.statementType(ms.getStatementType()); ????????builder.keyGenerator(ms.getKeyGenerator()); ????????builder.timeout(ms.getTimeout()); ????????builder.parameterMap(ms.getParameterMap()); ????????builder.resultMaps(ms.getResultMaps()); ????????builder.cache(ms.getCache()); ????????builder.useCache(ms.isUseCache()); ????????return?builder.build(); ????} ????/** ?????*?通過注解判斷是否需要限制數(shù)據(jù) ?????*?@return ?????*/ ????private?SqlLimit?isLimit(MappedStatement?mappedStatement)?{ ????????SqlLimit?sqlLimit?=?null; ????????try?{ ????????????String?id?=?mappedStatement.getId(); ????????????String?className?=?id.substring(0,?id.lastIndexOf(".")); ????????????String?methodName?=?id.substring(id.lastIndexOf(".")?+?1,?id.length()); ????????????final?Class>cls=Class.forName(className); finalMethod[]method=cls.getMethods(); for(Methodme:method){ if(me.getName().equals(methodName)&&me.isAnnotationPresent(SqlLimit.class)){ sqlLimit=me.getAnnotation(SqlLimit.class); } } }catch(Exceptione){ e.printStackTrace(); } returnsqlLimit; } publicstaticclassBoundSqlSqlSourceimplementsSqlSource{ privatefinalBoundSqlboundSql; publicBoundSqlSqlSource(BoundSqlboundSql){ this.boundSql=boundSql; } @Override publicBoundSqlgetBoundSql(ObjectparameterObject){ returnboundSql; } } }
順便加了個注解 @SqlLimit,在 mapper 方法上加了此注解才進行數(shù)據(jù)權限過濾。同時注解有兩個屬性,
@Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented @Inherited public@interfaceSqlLimit{ /** *sql表別名 *@return */ Stringalis()default""; /** *通過此列名進行限制 *@return */ StringcolumnName()default""; }
columnName 表示通過此列名進行限制,一般來說一個系統(tǒng),各表當中的此列是統(tǒng)一的,可以忽略。
alis 用于標注 sql 表別名,如 針對 sql select * from tablea as a left join tableb as b on a.id = b.id 進行改寫,如果不知道表別名,會直接在后面拼接 where dpt_id = #{dptId},那此 SQL 就會錯誤的,通過別名 @SqlLimit(alis = "a") 就可以知道需要拼接的是 where a.dpt_id = #{dptId}
執(zhí)行結果。
原 SQL:select * from person, 數(shù)據(jù)權限替換后的SQL:select * from person where dpt_id = 234。
原 SQL:select * from person where id > 1, 數(shù)據(jù)權限替換后的 SQL:select * from person where dpt_id = 234 and id > 1。
但是在使用 PageHelper 進行分頁的時候還是有問題。
可以看到先執(zhí)行了 _COUNT 方法也就是 PageHelper,再執(zhí)行了自定義的攔截器。
在我們的業(yè)務方法中注入 SqlSessionFactory。
@Autowired @Lazy privateListsqlSessionFactoryList;
PageInterceptor 為 1,自定義攔截器為 0,跟 order 相反,PageInterceptor 優(yōu)先級更高,所以越先執(zhí)行。
mybatis攔截器優(yōu)先級
@Order
通過 @Order 控制 PageInterceptor 和 MySqlInterceptor 可行嗎?
將 MySqlInterceptor 的加載優(yōu)先級調(diào)到最高,但測試證明依然不行。
定義 3 個類。
@Component @Order(2) publicclassOrderTest1{ @PostConstruct publicvoidinit(){ System.out.println("00000init"); } } @Component @Order(1) publicclassOrderTest2{ @PostConstruct publicvoidinit(){ System.out.println("00001init"); } } @Component @Order(0) publicclassOrderTest3{ @PostConstruct publicvoidinit(){ System.out.println("00002init"); } }
OrderTest1,OrderTest2,OrderTest3 的優(yōu)先級從低到高。
順序預期的執(zhí)行順序應該是相反的:
00002init 00001init 00000init
但事實上執(zhí)行的順序是
00000init 00001init 00002init
@Order 不控制實例化順序,只控制執(zhí)行順序。@Order 只跟特定一些注解生效 如:@Compent、 @Service、@Aspect … 不生效的如:@WebFilter
所以這里達不到預期效果。
@Priority 類似,同樣不行。
@DependsOn
使用此注解將當前類將在依賴類實例化之后再執(zhí)行實例化。
在 MySqlInterceptor 上標記@DependsOn("queryInterceptor")
啟動報錯,
這個時候 queryInterceptor 還沒有實例化對象。
@PostConstruct
@PostConstruct 修飾的方法會在服務器加載 Servlet 的時候運行,并且只會被服務器執(zhí)行一次。在同一個類里,執(zhí)行順序為順序如下:Constructor > @Autowired > @PostConstruct。
但它也不能保證不同類的執(zhí)行順序。
PageHelper 的 springboot start 也是通過這個來初始化攔截器的。
ApplicationRunner
在當前 springboot 容器加載完成后執(zhí)行,那么這個時候 pagehelper 的攔截器已經(jīng)加入,在這個時候加入自定義攔截器,就能達到我們想要的效果。
仿照 PageHelper 來寫。
@Component publicclassInterceptRunnerimplementsApplicationRunner{ @Autowired privateListsqlSessionFactoryList; @Override publicvoidrun(ApplicationArgumentsargs)throwsException{ MySqlInterceptormybatisInterceptor=newMySqlInterceptor(); for(SqlSessionFactorysqlSessionFactory:sqlSessionFactoryList){ org.apache.ibatis.session.Configurationconfiguration=sqlSessionFactory.getConfiguration(); configuration.addInterceptor(mybatisInterceptor); } } }
再執(zhí)行,可以看到自定義攔截器在攔截器鏈當中下標變?yōu)榱?1(優(yōu)先級與 order 剛好相反)
后臺打印結果,達到了預期效果。
審核編輯:劉清
-
SQL
+關注
關注
1文章
764瀏覽量
44127 -
MYSQL數(shù)據(jù)庫
關注
0文章
96瀏覽量
9390
原文標題:基于Mybatis攔截器實現(xiàn)數(shù)據(jù)范圍權限
文章出處:【微信號:芋道源碼,微信公眾號:芋道源碼】歡迎添加關注!文章轉載請注明出處。
發(fā)布評論請先 登錄
相關推薦
評論