最近在做一个测试平台,其中有一个需求是用户只能看到他有权限的项目数据。一开始这个需求只针对用例模块,我直接在sql后面加上了关联项目权限表。后面因为其他模块也需要这个权限判断,故打算把关联sql抽取出来,实现拦截sql并添加权限。

大概分为三步:

1、定义一个注解 PermissionAop (可以在注解中添加参数,实现不同参数做不同的sql拼接)

2、实现拦截器(参考pagehelper的PageInterceptor实现),拦截Executor,当遇到mapper方法带有注解A,把权限的sql拼接上去

3、添加拦截器,可以使用@Configuration或实现ApplicationListener(自行百度),先添加pagehelper拦截器,再添加自定义的数据权限拦截器

下面说下要注意的点:

1、注意pom文件引入的是pagehelper-spring-boot-starter还是pagehelper。引入pagehelper-spring-boot-starter会自动添加pagehelper拦截器,而引入pagehelper则要手动添加拦截器。(我使用的pagehelper,下面伪代码有。若使用pagehelper-spring-boot-starter,参考https://blog.csdn.net/weixin_45497155/article/details/106025321)

2、测试时发现生成的sql总是先limit再权限过滤,pagehelper的拦截一直优先于自定义的拦截(这样会出现limit出10条,权限过滤剩5条,实际要求是先权限过滤,再limit出10条),一开始以为是添加拦截器的顺序问题,后面在官方文档看到,是拦截的对象不对(百度很多文章写的都是拦截StatementHandler),应该要拦截Executor

详细参考pagehelper官方文档:https://gitee.com/free/Mybatis_PageHelper/blob/master/wikis/zh/Interceptor.md

伪代码:

注解:

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

/**

 * @Author: Hjy

 * @Date: 2021/8/18 15:38 (日期和时间)

 * @description 自定义权限Aop注解

 */

@Target({ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

public @interface PermissionAop {

    PermissionEnum type() default PermissionEnum.DEFAULT;

}

  拦截器:

/**

 * @Author: Hjy

 * @Date: 2021/11/4 15:01 (日期和时间)

 * @description sql权限拦截(不能拦截StatementHandler , pageHelper拦截的是Executor

 *具体参考 : https://gitee.com/free/Mybatis_PageHelper/blob/master/wikis/zh/Interceptor.md )

 */

@Intercepts({@Signature(

        type = Executor.class,

        method = "query",

        args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}

), @Signature(

        type = Executor.class,

        method = "query",

        args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class}

)})

public class SqlAuthenticationInterceptor implements Interceptor {

    @Override

    public Object intercept(Invocation invocation) throws Throwable {

        // 这一段复制pageHelper的PageInterceptor

        Object[] args = invocation.getArgs();

        MappedStatement ms = (MappedStatement) args[0];

        Object parameter = args[1];

        RowBounds rowBounds = (RowBounds) args[2];

        ResultHandler resultHandler = (ResultHandler) args[3];

        Executor executor = (Executor) invocation.getTarget();

        CacheKey cacheKey;

        BoundSql boundSql;

        if (args.length == 4) {

            boundSql = ms.getBoundSql(parameter);

            cacheKey = executor.createCacheKey(ms, parameter, rowBounds, boundSql);

        } else {

            cacheKey = (CacheKey) args[4];

            boundSql = (BoundSql) args[5];

        }

        // 获取全类名和方法名

        String id = ms.getId();

        String className = id.substring(0, id.lastIndexOf("."));

        String methodName = id.substring(id.lastIndexOf(".") + 1);

        final Class<?> cls = Class.forName(className);

        final Method[] methods = cls.getMethods();

        for (Method method : methods) {

            // 若该方法含有PermissionAop注解,添加权限sql

            if (method.getName().equals(methodName) && method.isAnnotationPresent(PermissionAop.class)) {

                String permissionSql = getPermissionSql(boundSql.getSql());

                ReflectUtil.setFieldValue(boundSql, "sql", permissionSql);

            }

        }

        return executor.query(ms, parameter, rowBounds, resultHandler, cacheKey, boundSql);

    }

    @Override

    public Object plugin(Object target) {

        return Plugin.wrap(target, this);

    }

    @Override

    public void setProperties(Properties properties) {

    }

    private String getPermissionSql(String boundSql) {

        // 这里拼接你的权限sql

        return boundSql+"";

    }

}

 配置拦截器

/**

 * @Author: Hjy

 * @Date: 2021/11/10 15:39 (日期和时间)

 * @description 自定义mybatis的拦截,不使用pagehelper-spring-boot-starter,目的是添加拦截数据权限

 */

@Configuration

public class MybatisInterceptorAutoConfiguration {

    @Resource

    private List<SqlSessionFactory> sqlSessionFactoryList;

    @Bean

    @ConfigurationProperties(prefix = "pagehelper")

    public Properties pageHelperProperties() {

        return new Properties();

    }

    @PostConstruct

    public void addMysqlInterceptor() {

        //数据权限拦截器

        SqlAuthenticationInterceptor sqlAuthenticationInterceptor = new SqlAuthenticationInterceptor();

        //分页拦截器

        PageInterceptor pageInterceptor = new PageInterceptor();

        pageInterceptor.setProperties(this.pageHelperProperties());

        // 先增加的拦截后执行

        for (SqlSessionFactory sqlSessionFactory : sqlSessionFactoryList) {

            sqlSessionFactory.getConfiguration().addInterceptor(pageInterceptor);

            // 增加权限拦截

            sqlSessionFactory.getConfiguration().addInterceptor(sqlAuthenticationInterceptor);

        }

    }

}

  

mybatis实现数据行级权限拦截的更多相关文章

  1. Quick BI独创千人千面的行级权限管控机制

    摘要 就数据访问权限而言,阿里巴巴以“被动式授权”为主,你需要什么权限就申请什么权限.但是,在客户交流过程中,我们发现绝大多数企业都是集中式授权,尤其是面向个人的行级权限管控,管理复杂度往往呈几何增长 ...

  2. Security Policy:行级安全(Row-Level Security)

    行级安全RLS(Row-Level Security)是在数据行级别上控制用户的访问,控制用户只能访问数据库表的特定数据行.断言是逻辑表达式,在SQL Server 2016中,RLS是基于安全断言( ...

  3. 行级安全(Row-Level Security)

    通过授予和拒绝(Grant/Deny)命令控制用户的权限,只能控制用户对数据库对象的访问权限,这意味着,用户访问的粒度是对象整体,可以是一个数据表,或视图等,用户要么能够访问数据库对象,要么没有权限访 ...

  4. 行级安全(Row

    通过授予和拒绝(Grant/Deny)命令控制用户的权限,只能控制用户对数据库对象的访问权限,这意味着,用户访问的粒度是对象整体,可以是一个数据表,或视图等,用户要么能够访问数据库对象,要么没有权限访 ...

  5. SSAS中CUBE行权限数据级权限控制

    去年做了一个数据仓库的项目,其中涉及到了CUBE数据级权限的控制.在网上找这方面的资料,找到一个[BI] 通用数据级权限控制解决方案的实现(二):Cube中的角色设置与数据级权限控制.根据这个大牛的思 ...

  6. InnoDB这种行锁实现特点意味者:只有通过索引条件检索数据,InnoDB才会使用行级锁,否则,InnoDB将使用表锁!

    InnoDB行锁是通过索引上的索引项来实现的,这一点MySQL与Oracle不同,后者是通过在数据中对相应数据行加锁来实现的. InnoDB这种行锁实现特点意味者:只有通过索引条件检索数据,InnoD ...

  7. MySQL行(记录)的详细操作一 介绍 二 插入数据INSERT 三 更新数据UPDATE 四 删除数据DELETE 五 查询数据SELECT 六 权限管理

    MySQL行(记录)的详细操作 阅读目录 一 介绍 二 插入数据INSERT 三 更新数据UPDATE 四 删除数据DELETE 五 查询数据SELECT 六 权限管理 一 介绍 MySQL数据操作: ...

  8. mysql:如何解决数据修改冲突(事务+行级锁的实际运用)

    摘要:最近做一个接诊需求遇到一个问题,假设一个订单咨询超过3次就不能再接诊,但如果两个医生同时对该订单进行咨询,查数据库的时候查到的接诊次数都是2次,那两个医生都能接诊,所谓接诊可以理解为更新了接诊次 ...

  9. sqlserver数据库安全函数、配置函数、游标函数、行级函数、排名函数、元数据函数、系统统计函数 、文本和图像函数--收藏着有用

    行级函数:下列行集函数将返回一个可用于代替 Transact-SQL 语句中表引用的对象. CONTAINSTABLE 返回具有零行.一行或多行的表,这些行的列中包含的基于字符类型的数据是单个词语和短 ...

随机推荐

  1. 创建swarm集群并自动编排

    1.基础环境配置 主机名 master node1 node2 IP地址 192.168.***.1 192.168.***.2 192.168.***.3 角色     管理节点 工作节点 工作节点 ...

  2. KingbaseES 逻辑备份还原加密

    KingbaseEs 支持在sys_dump备份时使用key进行加密.在sys_restore时,如果没提供key,或者key值不对,将无法进行恢复. [kingbase@dbhost03 ~]$ s ...

  3. Markdown Support

    Markdown 支持一览 Markdown 支持一览 身正不怕影子斜 我实在没有说过这样一句话 -- 鲁迅 古代文学史发展脉络 唐诗 宋词 元曲 冯·诺依曼结构 运算器 控制器 存储器 输入输出设备 ...

  4. gem5 使用记录, 基于理解来写个最简单的计数器程序

    学习GEM5其实是因为工作需要,主要是用来做数字电路的模型仿真的,之前用过 systemC,现在公司用的 gem5,其实本质上都是 C++只是套个不同的壳然后拿去仿真而已,SC本身就提供了时钟可以仿真 ...

  5. haodoop数据压缩

    压缩概述 压缩技术能够有效减少底层存储系统(HDFS)读写字节数.压缩提高了网络宽带和磁盘空间的效率.在运行MR程序时,I/O操作,网络数据传输,Shuffle和Merge要花大量的时间,尤其是数据规 ...

  6. 类似微信聊天小程序-网易云信,IM DEMO小程序版本

    类似微信聊天小程序-网易云信,IM DEMO小程序版本 代码地址: https://github.com/netease-im/NIM_Web_Weapp_Demo 云信IM DEMO 小程序版本 ( ...

  7. Rust变量用法与特征

    变量用法与特征 变量绑定 let a = "hello world"  为何不用赋值而用绑定呢(其实你也可以称之为赋值,但是绑定的含义更清晰准确)?这里就涉及 Rust 最核心的原 ...

  8. AQS:Java 中悲观锁的底层实现机制

    介绍 AQS AQS(AbstractQueuedSynchronizer)是 Java 并发包中,实现各种同步组件的基础.比如 各种锁:ReentrantLock.ReadWriteLock.Sta ...

  9. 使用MinIO中暂未解决的问题

    时间显示问题 web页面上创建桶的时间跟使用SDK获取的时间不一样,相差8个小时,但是mc命令行客户端获取的时间跟web上的一样

  10. Dockerfile 和 docker-compose.yml的区别

    明确概念 Dockerfile 是拿来构建自定义镜像的,并没有直接生成容器.只是可以在运行镜像时运行容器而已. 做容器编排以部署环境,是使用 docker-compose.yml 文件进行的,里面可能 ...