基于Mybatis攔截器實(shí)現(xiàn)數(shù)據(jù)范圍權(quán)限

mybatis 攔截器

mybatis攔截器優(yōu)先級

@Order

@DependsOn

@PostConstruct

ApplicationRunner

前端的菜單和按鈕權(quán)限都可以通過配置來實(shí)現(xiàn)，但很多時(shí)候，后臺查詢數(shù)據(jù)庫數(shù)據(jù)的權(quán)限需要通過手動添加SQL來實(shí)現(xiàn)。

比如員工打卡記錄表，有 id、name、dpt_id、company_id 等字段，后兩個表示部門 ID 和分公司 ID。

查看員工打卡記錄 SQL 為：select id,name,dpt_id,company_id from t_record

當(dāng)一個總部賬號可以查看全部數(shù)據(jù)此時(shí)，sql 無需改變。因?yàn)樗梢钥吹饺繑?shù)據(jù)。

當(dāng)一個部門管理員權(quán)限員工查看全部數(shù)據(jù)時(shí)，sql 需要在末屬添加 where dpt_id = #{dpt_id}

如果每個功能模塊都需要手動寫代碼去拿到當(dāng)前登陸用戶的所屬部門，然后手動添加where條件，就顯得非常的繁瑣。

因此，可以通過 mybatis 的攔截器拿到查詢 sql 語句，再自動改寫 sql。

mybatis 攔截器

MyBatis 允許你在映射語句執(zhí)行過程中的某一點(diǎn)進(jìn)行攔截調(diào)用。默認(rèn)情況下，MyBatis 允許使用插件來攔截的方法調(diào)用包括：

Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)

ParameterHandler (getParameterObject, setParameters)

ResultSetHandler (handleResultSets, handleOutputParameters)

StatementHandler (prepare, parameterize, batch, update, query)

這些類中方法的細(xì)節(jié)可以通過查看每個方法的簽名來發(fā)現(xiàn)，或者直接查看 MyBatis 發(fā)行包中的源代碼。如果你想做的不僅僅是監(jiān)控方法的調(diào)用，那么你最好相當(dāng)了解要重寫的方法的行為。因?yàn)樵谠噲D修改或重寫已有方法的行為時(shí)，很可能會破壞 MyBatis 的核心模塊。這些都是更底層的類和方法，所以使用插件的時(shí)候要特別當(dāng)心。

通過 MyBatis 提供的強(qiáng)大機(jī)制，使用插件是非常簡單的，只需實(shí)現(xiàn) Interceptor 接口，并指定想要攔截的方法簽名即可。

分頁插件 pagehelper 就是一個典型的通過攔截器去改寫 SQL 的。

可以看到它通過注解 @Intercepts 和簽名 @Signature 來實(shí)現(xiàn)，攔截 Executor 執(zhí)行器，攔截所有的 query 查詢類方法。

我們可以據(jù)此也實(shí)現(xiàn)自己的攔截器。

importcom.skycomm.common.util.user.Cpip2UserDeptVo;
importcom.skycomm.common.util.user.Cpip2UserDeptVoUtil;
importlombok.extern.slf4j.Slf4j;
importorg.apache.commons.lang3.StringUtils;
importorg.apache.ibatis.cache.CacheKey;
importorg.apache.ibatis.executor.Executor;
importorg.apache.ibatis.mapping.BoundSql;
importorg.apache.ibatis.mapping.MappedStatement;
importorg.apache.ibatis.mapping.SqlSource;
importorg.apache.ibatis.plugin.Interceptor;
importorg.apache.ibatis.plugin.Intercepts;
importorg.apache.ibatis.plugin.Invocation;
importorg.apache.ibatis.plugin.Signature;
importorg.apache.ibatis.session.ResultHandler;
importorg.apache.ibatis.session.RowBounds;
importorg.springframework.stereotype.Component;
importorg.springframework.web.context.request.RequestAttributes;
importorg.springframework.web.context.request.RequestContextHolder;
importorg.springframework.web.context.request.ServletRequestAttributes;

importjavax.servlet.http.HttpServletRequest;
importjava.lang.reflect.Method;

@Component
@Intercepts({
@Signature(type=Executor.class,method="query",args={MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class}),
@Signature(type=Executor.class,method="query",args={MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class,CacheKey.class,BoundSql.class}),
})
@Slf4j
publicclassMySqlInterceptorimplementsInterceptor{

@Override
publicObjectintercept(Invocationinvocation)throwsThrowable{
MappedStatementstatement=(MappedStatement)invocation.getArgs()[0];
Objectparameter=invocation.getArgs()[1];
BoundSqlboundSql=statement.getBoundSql(parameter);
StringoriginalSql=boundSql.getSql();
ObjectparameterObject=boundSql.getParameterObject();

SqlLimitsqlLimit=isLimit(statement);
if(sqlLimit==null){
returninvocation.proceed();
}

RequestAttributesreq=RequestContextHolder.getRequestAttributes();
if(req==null){
returninvocation.proceed();
}

//處理request
HttpServletRequestrequest=((ServletRequestAttributes)req).getRequest();
Cpip2UserDeptVouserVo=Cpip2UserDeptVoUtil.getUserDeptInfo(request);
StringdepId=userVo.getDeptId();

Stringsql=addTenantCondition(originalSql,depId,sqlLimit.alis());
log.info("原SQL：{}，數(shù)據(jù)權(quán)限替換后的SQL：{}",originalSql,sql);
BoundSqlnewBoundSql=newBoundSql(statement.getConfiguration(),sql,boundSql.getParameterMappings(),parameterObject);
MappedStatementnewStatement=copyFromMappedStatement(statement,newBoundSqlSqlSource(newBoundSql));
invocation.getArgs()[0]=newStatement;
returninvocation.proceed();
}

/**
*重新拼接SQL
*/
privateStringaddTenantCondition(StringoriginalSql,StringdepId,Stringalias){
Stringfield="dpt_id";
if(StringUtils.isNoneBlank(alias)){
field=alias+"."+field;
}

StringBuildersb=newStringBuilder(originalSql);
intindex=sb.indexOf("where");
if(indexcls=Class.forName(className);
finalMethod[]method=cls.getMethods();
for(Methodme:method){
if(me.getName().equals(methodName)&&me.isAnnotationPresent(SqlLimit.class)){
sqlLimit=me.getAnnotation(SqlLimit.class);
}
}
}catch(Exceptione){
e.printStackTrace();
}
returnsqlLimit;
}

publicstaticclassBoundSqlSqlSourceimplementsSqlSource{

privatefinalBoundSqlboundSql;

publicBoundSqlSqlSource(BoundSqlboundSql){
this.boundSql=boundSql;
}

@Override
publicBoundSqlgetBoundSql(ObjectparameterObject){
returnboundSql;
}
}
}

順便加了個注解 @SqlLimit，在 mapper 方法上加了此注解才進(jìn)行數(shù)據(jù)權(quán)限過濾。同時(shí)注解有兩個屬性，

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public@interfaceSqlLimit{
/**
*sql表別名
*@return
*/
Stringalis()default"";

/**
*通過此列名進(jìn)行限制
*@return
*/
StringcolumnName()default"";
}

columnName 表示通過此列名進(jìn)行限制，一般來說一個系統(tǒng)，各表當(dāng)中的此列是統(tǒng)一的，可以忽略。

alis 用于標(biāo)注 sql 表別名，如 針對 sql select * from tablea as a left join tableb as b on a.id = b.id 進(jìn)行改寫，如果不知道表別名，會直接在后面拼接 where dpt_id = #{dptId},那此 SQL 就會錯誤的，通過別名 @SqlLimit(alis = "a") 就可以知道需要拼接的是 where a.dpt_id = #{dptId}

執(zhí)行結(jié)果。

原 SQL：select * from person， 數(shù)據(jù)權(quán)限替換后的SQL：select * from person where dpt_id = 234。

原 SQL：select * from person where id > 1， 數(shù)據(jù)權(quán)限替換后的 SQL：select * from person where dpt_id = 234 and id > 1。

但是在使用 PageHelper 進(jìn)行分頁的時(shí)候還是有問題。

可以看到先執(zhí)行了 _COUNT 方法也就是 PageHelper，再執(zhí)行了自定義的攔截器。

在我們的業(yè)務(wù)方法中注入 SqlSessionFactory。

@Autowired
@Lazy
privateListsqlSessionFactoryList;

PageInterceptor 為 1，自定義攔截器為 0，跟 order 相反，PageInterceptor 優(yōu)先級更高，所以越先執(zhí)行。

基于 Spring Boot + MyBatis Plus + Vue & Element 實(shí)現(xiàn)的后臺管理系統(tǒng) + 用戶小程序，支持 RBAC 動態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能

項(xiàng)目地址：https://github.com/YunaiV/ruoyi-vue-pro

視頻教程：https://doc.iocoder.cn/video/

mybatis攔截器優(yōu)先級

@Order

通過 @Order 控制 PageInterceptor 和 MySqlInterceptor 可行嗎？

將 MySqlInterceptor 的加載優(yōu)先級調(diào)到最高，但測試證明依然不行。

定義 3 個類。

@Component
@Order(2)
publicclassOrderTest1{

@PostConstruct
publicvoidinit(){
System.out.println("00000init");
}
}
@Component
@Order(1)
publicclassOrderTest2{

@PostConstruct
publicvoidinit(){
System.out.println("00001init");
}
}
@Component
@Order(0)
publicclassOrderTest3{

@PostConstruct
publicvoidinit(){
System.out.println("00002init");
}
}

OrderTest1，OrderTest2，OrderTest3 的優(yōu)先級從低到高。

順序預(yù)期的執(zhí)行順序應(yīng)該是相反的：

00002init
00001init
00000init

但事實(shí)上執(zhí)行的順序是

00000init
00001init
00002init

@Order 不控制實(shí)例化順序，只控制執(zhí)行順序。@Order 只跟特定一些注解生效 如：@Compent、 @Service、@Aspect … 不生效的如：@WebFilter

所以這里達(dá)不到預(yù)期效果。

@Priority 類似，同樣不行。

@DependsOn

使用此注解將當(dāng)前類將在依賴類實(shí)例化之后再執(zhí)行實(shí)例化。

在 MySqlInterceptor 上標(biāo)記@DependsOn("queryInterceptor")

啟動報(bào)錯，

這個時(shí)候 queryInterceptor 還沒有實(shí)例化對象。

@PostConstruct

@PostConstruct 修飾的方法會在服務(wù)器加載 Servlet 的時(shí)候運(yùn)行，并且只會被服務(wù)器執(zhí)行一次。在同一個類里，執(zhí)行順序?yàn)轫樞蛉缦拢篊onstructor > @Autowired > @PostConstruct。

但它也不能保證不同類的執(zhí)行順序。

PageHelper 的 springboot start 也是通過這個來初始化攔截器的。

ApplicationRunner

在當(dāng)前 springboot 容器加載完成后執(zhí)行，那么這個時(shí)候 pagehelper 的攔截器已經(jīng)加入，在這個時(shí)候加入自定義攔截器，就能達(dá)到我們想要的效果。

仿照 PageHelper 來寫。

@Component
publicclassInterceptRunnerimplementsApplicationRunner{

@Autowired
privateListsqlSessionFactoryList;

@Override
publicvoidrun(ApplicationArgumentsargs)throwsException{
MySqlInterceptormybatisInterceptor=newMySqlInterceptor();
for(SqlSessionFactorysqlSessionFactory:sqlSessionFactoryList){
org.apache.ibatis.session.Configurationconfiguration=sqlSessionFactory.getConfiguration();
configuration.addInterceptor(mybatisInterceptor);
}
}
}

再執(zhí)行，可以看到自定義攔截器在攔截器鏈當(dāng)中下標(biāo)變?yōu)榱?1（優(yōu)先級與 order 剛好相反）

后臺打印結(jié)果，達(dá)到了預(yù)期效果。