2. 程式人生 > >SpringSecurity許可權管理系統實戰—九、資料許可權的配置

SpringSecurity許可權管理系統實戰—九、資料許可權的配置

阿新 發佈:2020-08-25
## 目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://www.cnblogs.com/codermy/p/13516372.html) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://www.cnblogs.com/codermy/p/13516369.html) [SpringSecurity許可權管理系統實戰—三、主要頁面及介面實現](https://www.cnblogs.com/codermy/p/13516379.html) [SpringSecurity許可權管理系統實戰—四、整合SpringSecurity(上)](https://www.cnblogs.com/codermy/p/13516385.html) [SpringSecurity許可權管理系統實戰—五、整合SpringSecurity(下)](https://www.cnblogs.com/codermy/p/13516388.html) [SpringSecurity許可權管理系統實戰—六、SpringSecurity整合jwt](https://www.cnblogs.com/codermy/p/13516394.html) [SpringSecurity許可權管理系統實戰—七、處理一些問題](https://www.cnblogs.com/codermy/p/13516397.html) [SpringSecurity許可權管理系統實戰—八、AOP 記錄使用者日誌、異常日誌](https://www.cnblogs.com/codermy/p/13533051.html) [SpringSecurity許可權管理系統實戰—九、資料許可權的配置](https://www.cnblogs.com/codermy/p/13557838.html) ## 前言 這一章的部分是我寫到現在最累的一部分,累就累在邏輯的處理上,因為涉及到很多多表的操作,幸好資料庫沒有設計外來鍵,不然更加噁心。 也讓我發現了資料庫設計之初的一些命名問題(之後再解決這個問題)。 就像是使用者表中的id最好還是用user_id,而我之前用的卻是id。這會導致什麼問題呢?比如說你在role_user這張關聯表中存的肯定是user_id吧,那麼你在關聯這兩個表寫sql語句是就要不停的轉換id和user_id,腦殼子都給你繞暈了。血淋淋的教訓,大家要注意了。 **這篇文章只是給一個思路,內容和邏輯都太複雜,還要對原有的部分進行修改,不能再像之前那樣一步一步貼程式碼了** **希望各位小夥伴能夠多多star支援,您的點贊就是我維護的動力** **[gitee](https://gitee.com/witmy/my-springsecurity-plus)和[github](https://github.com/witmy/my-springsecurity-pluss)中同步更新原始碼** 附:[阿里巴巴資料庫設計規範](https://developer.aliyun.com/article/709387) ## 一、什麼是資料許可權 許可權設計具體來說可以分為功能許可權和資料許可權。功能許可權就是角色能操作哪些介面,而資料許可權就是角色能夠獲取到的哪些資料。 形象點來說,如果現在有一個公司,公司上下有很多部門,部門裡有很多員工,而資料許可權就是為了讓某個部門的人只能獲取到自己部門或著是指定部門的員工資訊。 ## 二、新建如下表 ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823174541634.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823174540988.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/202008231745404.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) 分別是崗位表,部門表,使用者崗位關聯表和角色部門關聯表 my_user表中新增dept_id欄位。my_role表中新增data_scpoe欄位。前一個很好理解,就是部門的id,後一個代表的就是角色的資料許可權範圍 (這篇文章很難寫,文章所代表的程式碼內容也很難寫,大家想要理解透徹還是要從原始碼裡看,自己做一遍才能真正的理解) ## 三、效果 | 效果 | | | :----------------------------------------------------------: | ------------------------------------------------------------ | | ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823211416385.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70) | ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823211800198.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70) | | ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/2020082321145250.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70) | ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823211544985.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70) | | ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823212703388.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70) | ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823212703185.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70) | 效果就是這樣,程式碼也不貼了,這部分邏輯有點複雜,程式碼量很大,可以自行去原始碼中檢視。 ## 四、實現 這裡只是介紹下如何實現資料許可權,參考了若依專案中的實現方法 首先我們自定義一個註解 ```java /** * 資料許可權過濾註解 * @author codermy * @createTime 2020/8/22 */ @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface DataPermission { /** * 部門表的別名 */ public String deptAlias() default ""; /** * 使用者表的別名 */ public String userAlias() default ""; } ``` 再定義一個切面類 ```java /** * 資料過濾處理 * @author codermy * @createTime 2020/8/22 */ @Aspect @Component public class DataScopeAspect { @Autowired public RoleUserService roleUserService; /** * 全部資料許可權 */ public static final String DATA_SCOPE_ALL = "1"; /** * 自定資料許可權 */ public static final String DATA_SCOPE_CUSTOM = "2"; /** * 部門資料許可權 */ public static final String DATA_SCOPE_DEPT = "3"; /** * 部門及以下資料許可權 */ public static final String DATA_SCOPE_DEPT_AND_CHILD = "4"; /** * 僅本人資料許可權 */ public static final String DATA_SCOPE_SELF = "5"; /** * 資料許可權過濾關鍵字 */ public static final String DATA_SCOPE = "dataScope"; /** * 配置織入點 */ @Pointcut("@annotation(com.codermy.myspringsecurityplus.admin.annotation.DataPermission)") public void dataScopePointCut() { } @Before("dataScopePointCut()") public void doBefore(JoinPoint point) throws Throwable { handleDataScope(point); } protected void handleDataScope(final JoinPoint joinPoint) { // 獲得註解 DataPermission controllerDataScope = getAnnotationLog(joinPoint); if (controllerDataScope == null) { return; } // 獲取當前的使用者 JwtUserDto currentUser = SecurityUtils.getCurrentUser(); if (currentUser != null) { // 如果是超級管理員,則不過濾資料 if (!currentUser.isAdmin()) { dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(), controllerDataScope.userAlias()); } } } /** * 資料範圍過濾 * * @param joinPoint 切點 * @param user 使用者 * @param deptAlias 部門別名 * @param userAlias 使用者別名 */ public static void dataScopeFilter(JoinPoint joinPoint, JwtUserDto user, String deptAlias, String userAlias) { StringBuilder sqlString = new StringBuilder(); for (MyRole role : user.getRoleInfo()) { String dataScope = role.getDataScope(); if (DATA_SCOPE_ALL.equals(dataScope)) { sqlString = new StringBuilder(); break; } else if (DATA_SCOPE_CUSTOM.equals(dataScope)) { sqlString.append(StrUtil.format( " OR {}.id IN ( SELECT dept_id FROM my_role_dept WHERE role_id = {} ) ", deptAlias, role.getId())); } else if (DATA_SCOPE_DEPT.equals(dataScope)) { sqlString.append(StrUtil.format(" OR {}.id = {} ", deptAlias, user.getMyUser().getDeptId())); } else if (DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope)) { sqlString.append(StrUtil.format( " OR {}.id IN ( SELECT id FROM my_dept WHERE id = {} or find_in_set( {} , ancestors ) )", deptAlias, user.getMyUser().getDeptId(), user.getMyUser().getDeptId())); } else if (DATA_SCOPE_SELF.equals(dataScope)) { if (StrUtil.isNotBlank(userAlias)) { sqlString.append(StrUtil.format(" OR {}.id = {} ", userAlias, user.getMyUser().getId())); } else { // 資料許可權為僅本人且沒有userAlias別名不查詢任何資料 sqlString.append(" OR 1=0 "); } } } if (StrUtil.isNotBlank(sqlString.toString())) { BaseEntity baseEntity; for (int i = 0;i < joinPoint.getArgs().length ;i++ ){ if (joinPoint.getArgs()[i] instanceof BaseEntity){ baseEntity= (BaseEntity) joinPoint.getArgs()[i]; baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")"); } } } } /** * 是否存在註解,如果存在就獲取 */ private DataPermission getAnnotationLog(JoinPoint joinPoint) { Signature signature = joinPoint.getSignature(); MethodSignature methodSignature = (MethodSignature) signature; Method method = methodSignature.getMethod(); if (method != null) { return method.getAnnotation(DataPermission.class); } return null; } } ``` 解釋一下這個切面類的作用就是: 當你在ServiceImpl的某個方法上定義了這個註解時,它就會獲取當前登入使用者的角色的dataScope(就是資料範圍),然後比較它的值,將相應的sql語句存入baseEntity的params中 然後我們只需要在對於需要配置資料許可權的mapper.xml中新增${params.dataScope} ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823210041311.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) 再在呼叫此方法的service方法上添加註解@DataPermission(deptAlias = "d", userAlias = "u") 即可 ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823210238753.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) 這裡我在BaseEntity中添加了一個params屬性來用於存放資料許可權的sql ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823210552241.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) 這樣當我們需要呼叫這個sql時,如果未過濾許可權時,sql是這樣的 ```sql SELECT u.id, u.dept_id, u.user_name, u.password, u.nick_name , u.phone, u.email, u.status, u.create_time, u.update_time FROM my_user u LEFT JOIN my_dept d ON u.dept_id = d.id WHERE u.dept_id = ? OR u.dept_id IN ( SELECT e.id FROM my_dept e WHERE FIND_IN_SET(?, ancestors) ) ORDER BY u.id ``` 如果我們給這個角色的資料許可權種類是自定資料許可權,sql就會是下面這樣 ```sql SELECT u.id, u.dept_id, u.user_name, u.password, u.nick_name , u.phone, u.email, u.status, u.create_time, u.update_time FROM my_user u LEFT JOIN my_dept d ON u.dept_id = d.id WHERE (u.dept_id = ? OR u.dept_id IN ( SELECT e.id FROM my_dept e WHERE FIND_IN_SET(?, ancestors) )) AND d.id IN ( SELECT dept_id FROM my_role_dept WHERE role_id = 2 ) ORDER BY u.id ``` 那麼如果我們給角色 ‘普通使用者’如下資料許可權 ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823213044833.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) 那麼當我們登入該角色的使用者時,便只能訪問到相應部門下的使用者資訊。 ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823213636257.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823213649415.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) 當我們再在部門的相應方法和sql上再新增上註解時過濾語句時,那麼效果就是這樣的 ![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20200823213813351.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0hZRENT,size_16,color_FFFFFF,t_70#pic_center) [gitee](https://gitee.com/witmy/my-springsecurity-plus)和[github](https://github.com/witmy/my-springsecurity-pluss)中同步更

相關推薦

SpringSecurity許可權管理系統實戰資料許可權配置

## 目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://www.cnblogs.com/codermy/p/13516372.html) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://www.cnblogs.c

SpringSecurity許可權管理系統實戰—一專案簡介和開發環境準備

## 目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://blog.csdn.net/HYDCS/article/details/107282166) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://blog.cs

SpringSecurity許可權管理系統實戰—二日誌介面文件等實現

## 系列目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://www.cnblogs.com/codermy/p/13516372.html) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://www.cnblogs

SpringSecurity許可權管理系統實戰—三主要頁面及介面實現

## 系列目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://www.cnblogs.com/codermy/p/13516372.html) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://www.cnblogs

SpringSecurity許可權管理系統實戰—四整合SpringSecurity(上)

## 目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://www.cnblogs.com/codermy/p/13516372.html) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://www.cnblogs.c

SpringSecurity許可權管理系統實戰—五整合SpringSecurity(下)

## 目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://www.cnblogs.com/codermy/p/13516372.html) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://www.cnblogs.c

SpringSecurity許可權管理系統實戰—六SpringSecurity整合JWT

## 目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://www.cnblogs.com/codermy/p/13516372.html) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://www.cnblogs.c

SpringSecurity許可權管理系統實戰—七處理一些問題

## 目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://www.cnblogs.com/codermy/p/13516372.html) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://www.cnblogs.c

SpringSecurity許可權管理系統實戰—八AOP 記錄使用者異常日誌

## 目錄 [SpringSecurity許可權管理系統實戰—一、專案簡介和開發環境準備](https://www.cnblogs.com/codermy/p/13516372.html) [SpringSecurity許可權管理系統實戰—二、日誌、介面文件等實現](https://www.cnblogs.c

ABP+AdminLTE+Bootstrap Table許可權管理系統節--AdminLTE引入及模板頁和佈局和選單

 AdminLTE    首先去官網下載包下來,然後引入專案.   然後我們在web層新增區域Admin以及Common,關於AdminLTE的地址我們放在Common路勁下面.   在Common下新增LayoutController控制器. Layout 這裡選單我們先不管,在後

許可權管理系統(二):許可權管理系統介紹

為什麼需要許可權管理 1、安全性:誤操作、人為破壞、資料洩露等; 2、資料隔離:不同的許可權能看到及操作不同的資料; 3、明確職責:運營、客服等不同角色,leader和dev等不同級別 許可權管理核心 1、使用者—許可權:人員少,功能固定,或者特別簡單的系統; 2、RBAC(Role-Based

基於CI(codeigniter)的通用許可權管理系統(擁有完整RBAC許可權模型,php開發)

大概利用一個月時間吧,把RBAC許可權模型熟悉了一遍,開發了一套通用系統,主要模組包括以下:1、機構管理:可多級新增、刪除等2、使用者管理:可批量新增、刪除等3、模組管理:配置功能目錄樹形顯示4、角色管

Spring Boot + Spring Cloud 實現許可權管理系統 後端篇(十):服務消費(RibbonFeign)

技術背景 上一篇教程中,我們利用Consul註冊中心,實現了服務的註冊和發現功能,這一篇我們來聊聊服務的呼叫。單體應用中,程式碼可以直接依賴,在程式碼中直接呼叫即可,但在微服務架構是分散式架構,服務都執行在各自的程序之中,甚至部署在不同的主機和不同的地區。這個時候就需要相關的遠端呼叫技術了。 Spring

Spring Boot + Spring Cloud 實現許可權管理系統 後端篇(二十):服務熔斷(HystrixTurbine)

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin 雪崩效應 在微服務架構中,由於服務眾多,通常會涉及多個服務層級的呼叫,而一旦基礎服務發生故障,很可能會導致級聯故障,進而造成整個系統不可用,這種現象被稱為服務雪崩效應。服務雪崩

Spring Boot + Spring Cloud 實現許可權管理系統 後端篇(二十二):鏈路追蹤(SleuthZipkin)

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin 技術背景 在微服務架構中,隨著業務發展,系統拆分導致系統呼叫鏈路愈發複雜,一個看似簡單的前端請求可能最終需要呼叫很多次後端服務才能完成,那麼當整個請求出現問題時,我們很難得知到

SpringBoot+mybatis+SpringSecurity+redis許可權管理系統原始碼

技術選型 後端 基礎框架:Spring Boot 2.0.4.RELEASE 持久層框架:Mybatis 3.4.5 安全框架: Spring Security 5.0.7 摸板引擎:Thymeleaf 3.0.9.RELEASE 資料庫連線池:阿里巴巴Druid 1.1

Spring Boot + Spring Cloud 實現許可權管理系統 後端篇(二十三):配置中心(ConfigBus)

線上演示 使用者名稱:admin 密碼:admin 技術背景 如今微服務架構盛行,在分散式系統中,專案日益龐大,子專案日益增多,每個專案都散落著各種配置檔案,且隨著服務的增加而不斷增多。此時,往往某一個基礎服務資訊變更,都會導致一系列服務的更新和重啟,運維也是苦不堪言,而且還很容易出錯。於是,配置中心便由此

SpringBoot整合mybatisshiroredis實現基於資料庫的細粒度動態許可權管理系統例項

1.前言 本文主要介紹使用SpringBoot與shiro實現基於資料庫的細粒度動態許可權管理系統例項。 使用技術:SpringBoot、mybatis、shiro、thymeleaf、pagehelper、Mapper外掛、druid、dataTables

通過SpringSecurity實現一個許可權管理系統

一、許可權系統E-R圖 常用的許可權管理系統中包括四個實體表,分別是使用者表、角色表、許可權表、資源表,以及他們之間的三個聯絡表,實體表之間都是多對多的關係 備註:寫完了才發現角色表沒用到,請忽略 二、SpringSecurity 2.1 主要元件 (1)SecurityContextHo

Python基礎(7)——名片管理系統(實現了資料簡單的儲存修改刪除檢視等)

進行了一些Python基礎知識的學習後,將這些知識進行綜合,實現了名片管理小系統,可以進行資料的增刪改查。 主要思路是將名片(資訊)存進字典裡,再將字典存入列表裡,方便進行增刪改查。 程式碼如下: #-*-encoding:utf-8-*- #用來儲存名片 card_in