文章目录
- 源代码
- 使用场景
- 界面操作
- SysDeptServiceImpl
- SysUserServiceImpl
- SysUserMapper
- DataScope定义
- 代码解析
- @Aspect和@Component
- 不同的数据权限类型
- @Before通知
- 处理数据范围的方法
源代码
@Aspect
@Component
public class DataScopeAspect
{/*** 全部数据权限*/public static final String DATA_SCOPE_ALL = "1";/*** 自定数据权限*/public static final String DATA_SCOPE_CUSTOM = "2";/*** 部门数据权限*/public static final String DATA_SCOPE_DEPT = "3";/*** 部门及以下数据权限*/public static final String DATA_SCOPE_DEPT_AND_CHILD = "4";/*** 仅本人数据权限*/public static final String DATA_SCOPE_SELF = "5";/*** 数据权限过滤关键字*/public static final String DATA_SCOPE = "dataScope";@Before("@annotation(controllerDataScope)")public void doBefore(JoinPoint point, DataScope controllerDataScope) throws Throwable{clearDataScope(point);handleDataScope(point, controllerDataScope);}protected void handleDataScope(final JoinPoint joinPoint, DataScope controllerDataScope){// 获取当前的用户LoginUser loginUser = SecurityUtils.getLoginUser();if (StringUtils.isNotNull(loginUser)){SysUser currentUser = loginUser.getUser();// 如果是超级管理员,则不过滤数据if (StringUtils.isNotNull(currentUser) && !currentUser.isAdmin()){dataScopeFilter(joinPoint, currentUser, controllerDataScope.deptAlias(),controllerDataScope.userAlias());}}}/*** 数据范围过滤** @param joinPoint 切点* @param user 用户* @param userAlias 别名*/public static void dataScopeFilter(JoinPoint joinPoint, SysUser user, String deptAlias, String userAlias){StringBuilder sqlString = new StringBuilder();for (SysRole role : user.getRoles()){String dataScope = role.getDataScope();if (DATA_SCOPE_ALL.equals(dataScope)){sqlString = new StringBuilder();break;}else if (DATA_SCOPE_CUSTOM.equals(dataScope)){sqlString.append(StringUtils.format(" OR {}.dept_id IN ( SELECT dept_id FROM sys_role_dept WHERE role_id = {} ) ", deptAlias,role.getRoleId()));}else if (DATA_SCOPE_DEPT.equals(dataScope)){sqlString.append(StringUtils.format(" OR {}.dept_id = {} ", deptAlias, user.getDeptId()));}else if (DATA_SCOPE_DEPT_AND_CHILD.equals(dataScope)){sqlString.append(StringUtils.format(" OR {}.dept_id IN ( SELECT dept_id FROM sys_dept WHERE dept_id = {} or find_in_set( {} , ancestors ) )",deptAlias, user.getDeptId(), user.getDeptId()));}else if (DATA_SCOPE_SELF.equals(dataScope)){if (StringUtils.isNotBlank(userAlias)){sqlString.append(StringUtils.format(" OR {}.user_id = {} ", userAlias, user.getUserId()));}else{// 数据权限为仅本人且没有userAlias别名不查询任何数据sqlString.append(" OR 1=0 ");}}}if (StringUtils.isNotBlank(sqlString.toString())){Object params = joinPoint.getArgs()[0];if (StringUtils.isNotNull(params) && params instanceof BaseEntity){BaseEntity baseEntity = (BaseEntity) params;baseEntity.getParams().put(DATA_SCOPE, " AND (" + sqlString.substring(4) + ")");}}}/*** 拼接权限sql前先清空params.dataScope参数防止注入*/private void clearDataScope(final JoinPoint joinPoint){Object params = joinPoint.getArgs()[0];if (StringUtils.isNotNull(params) && params instanceof BaseEntity){BaseEntity baseEntity = (BaseEntity) params;baseEntity.getParams().put(DATA_SCOPE, "");}}
}
使用场景
界面操作
角色管理>点击更多>修改数据权限
SysDeptServiceImpl
@Override@DataScope(deptAlias = "d")public List<SysDept> selectDeptList(SysDept dept){return deptMapper.selectDeptList(dept);}
SysUserServiceImpl
@Override@DataScope(deptAlias = "d", userAlias = "u")public List<SysUser> selectUserList(SysUser user){return userMapper.selectUserList(user);}
SysUserMapper
DataScope定义
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataScope
{/*** 部门表的别名*/public String deptAlias() default "";/*** 用户表的别名*/public String userAlias() default "";
}
代码解析
这段代码是一个名为DataScopeAspect的切面类,用于实现数据范围的控制。它使用了Spring的AOP(面向切面编程)来拦截带有@DataScope注解的方法,并在方法执行之前进行数据范围的处理。
以下是对该代码的解析:
@Aspect和@Component
该类被注解为@Aspect和@Component,表示它是一个切面类并且会被Spring进行管理。
@Aspect和@Component是Spring框架中的注解,用于在应用程序中声明切面和组件,并由Spring进行管理和使用。
-
@Aspect注解:
- @Aspect注解用于标识一个类为切面类,即包含切面逻辑的类。它告诉Spring这个类是一个切面,需要进行切面的处理。
- 当Spring扫描到被@Aspect注解的类时,会将其识别为一个切面,并在运行时根据切面的定义来实施切面行为。
-
@Component注解:
- @Component注解是Spring框架中通用的注解,用于标识一个类为组件,表示它会被Spring进行管理。
- @Component注解通常用于将普通的Java类纳入Spring的上下文中,使得这些类可以被自动装配和使用。
- 当Spring扫描到被@Component注解的类时,会将其实例化,并将其作为一个Spring的Bean进行管理。
通过将@Aspect和@Component注解应用于相应的类,Spring能够识别和处理这些类,从而实现AOP和组件管理的功能。在运行时,Spring会创建和维护这些切面和组件,并在需要时应用切面逻辑和依赖注入等功能。
不同的数据权限类型
它定义了一些常量,如DATA_SCOPE_ALL、DATA_SCOPE_CUSTOM等,用于表示不同的数据权限类型。
/*** 全部数据权限*/public static final String DATA_SCOPE_ALL = "1";/*** 自定数据权限*/public static final String DATA_SCOPE_CUSTOM = "2";/*** 部门数据权限*/public static final String DATA_SCOPE_DEPT = "3";/*** 部门及以下数据权限*/public static final String DATA_SCOPE_DEPT_AND_CHILD = "4";/*** 仅本人数据权限*/public static final String DATA_SCOPE_SELF = "5";
@Before通知
该切面类中定义了一个@Before通知,用于在带有@DataScope注解的方法执行之前执行相关逻辑。
doBefore方法是@Before通知的实现方法,它接收JoinPoint和DataScope对象作为参数。
/*** 拦截带有@DataScope注解的方法* 它接收JoinPoint和DataScope对象作为参数。拦截带有@DataScope注解的方法* DataScope是一个注解类* @param point* @param controllerDataScope* @throws Throwable*/@Before("@annotation(controllerDataScope)")public void doBefore(JoinPoint point, DataScope controllerDataScope) throws Throwable{clearDataScope(point);handleDataScope(point, controllerDataScope);}
处理数据范围的方法
- handleDataScope方法用于处理数据范围,根据当前登录用户的角色和数据权限进行过滤。
- dataScopeFilter方法是实际的数据范围过滤逻辑,根据用户的角色不同,构建不同的SQL语句进行数据过滤。
- clearDataScope方法用于清空params.dataScope参数,以防止注入攻击。
- 在dataScopeFilter方法中,根据用户的角色的dataScope值,构建不同的SQL语句,最终将数据范围的条件存储在BaseEntity对象的params属性中。
该切面类的作用是根据用户的角色和数据权限,在特定的方法执行之前对数据进行过滤,确保用户只能访问其具有权限的数据。
![[山海关crypto 训练营 day17]](https://img-blog.csdnimg.cn/1785487d635141d9b2e1f7e202278070.png)
![[web安全原理分析]-XXE漏洞入门](https://img-blog.csdnimg.cn/img_convert/87bc77829c2efb9ea1d2d3c17e0d7910.png)
