数据权限,实现指定用户可以操作指定范围的数据。
数据权限不支持指定用户只能查看数据的某些字段;
权限可以分成三类:功能权限、数据权限、字段权限。
目前可以使用数据脱敏实现一定程度的字段权限控制;
1.数据权限实现步骤
1.1插件原理
DataPermissionInterceptor 的工作原理与租户插件类似,它会在 SQL 执行前拦截 SQL 语句,并根据用户权限动态添加权限相关的 SQL 片段。这样,只有用户有权限访问的数据才会被查询出来。
数据权限插件 | MyBatis-Plus (baomidou.com)
1.2SQL片段组装的核心逻辑代码
JSQLParser 是一个开源的 SQL 解析库,可方便地解析和修改 SQL 语句。它是插件实现权限逻辑的关键工具,MyBatis-Plus 的数据权限依托于 JSQLParser 的解析能力。
以下示例展示如何使用 JSQLParser 来修改 SQL:
java
// 示例 SQL
String sql = "SELECT * FROM user WHERE status = 'active'";
Expression expression;
try {
expression = CCJSqlParserUtil.parseCondExpression("status = 'inactive'");
PlainSelect select = (PlainSelect) ((Select) CCJSqlParserUtil.parse(sql)).getSelectBody();
select.setWhere(expression);
System.out.println(select); // 输出:SELECT * FROM user WHERE status = 'inactive'
} catch (JSQLParserException e) {
e.printStackTrace();
}自定义 MultiDataPermissionHandler,实现特定业务逻辑:
java
/**
* 基于 {@link DataPermissionRule} 的数据权限处理器
*
* 它的底层,是基于 MyBatis Plus 的 <a href="https://baomidou.com/plugins/data-permission/">数据权限插件</a>
* 核心原理:它会在 SQL 执行前拦截 SQL 语句,并根据用户权限动态添加权限相关的 SQL 片段。这样,只有用户有权限访问的数据才会被查询出来
*/
@RequiredArgsConstructor
public class DataPermissionRuleHandler implements MultiDataPermissionHandler {
//ruleFactory 是一个"规则工厂",它是一个工具,专门用来提供"权限规则"。
private final DataPermissionRuleFactory ruleFactory;
//Table table:表示你要查的表;
//Expression where:表示你原来的查询条件(比如 WHERE id = 1)
//String mappedStatementId:一个字符串,表示你正在调用的查询方法
@Override
public Expression getSqlSegment(Table table, Expression where, String mappedStatementId) {
// 获得 Mapper 对应的数据权限的规则
List<DataPermissionRule> rules = ruleFactory.getDataPermissionRule(mappedStatementId);
if (CollUtil.isEmpty(rules)) {
return null;
}
// 生成条件,allExpression,用来存放最终的权限条件
Expression allExpression = null;
for (DataPermissionRule rule : rules) {
// 判断表名是否匹配,规则是否管理当前的表
String tableName = MyBatisUtils.getTableName(table);
if (!rule.getTableNames().contains(tableName)) {
continue;
}
// 单条规则的条件,对于这个表(tableName),它的限制条件是什么
Expression oneExpress = rule.getExpression(tableName, table.getAlias());
if (oneExpress == null) {
continue;
}
// 拼接到 allExpression 中
allExpression = allExpression == null ? oneExpress
: new AndExpression(allExpression, oneExpress);
}
return allExpression;
}
}整体流程(用图书馆的例子)
- 你想借书(查数据库),比如查 SELECT * FROM user。
- 图书管理员(DataPermissionRuleHandler)先拦住你,问:"你用的是哪个借书方法?"(mappedStatementId)。
- 管理员去问规则工厂(ruleFactory):"这个借书方法有哪些权限规则?"(rules)。
- 如果没有规则,管理员说:"随便借!"(返回 null)。
- 如果有规则(比如"只能借 dept_id = 1 的书"),管理员检查你借的书是不是这个部门的(tableName)。
- 如果是,管理员生成一个限制条件(u.dept_id = 1),并把所有条件用 AND 连起来。
- 最后,管理员把限制条件加到你的借书请求里(SELECT * FROM user WHERE dept_id = 1),确保你只能借到有权限的书。
2.整体代码实现流程
2.1Spring 应用启动:
- Spring 容器启动时,处理 @AutoConfiguration 和 @Configuration 类。
- YudaoDataPermissionAutoConfiguration 创建核心 Bean:
- DataPermissionRuleFactory:管理所有 DataPermissionRule 实例。
- DataPermissionRuleHandler:通过 DataPermissionInterceptor 集成到 MyBatis Plus 拦截器链。
- DataPermissionAnnotationAdvisor:支持基于注解的权限控制。
- YudaoDeptDataPermissionAutoConfiguration(在满足条件时)创建 DeptDataPermissionRule Bean,并通过 DeptDataPermissionRuleCustomizer 配置部门相关规则。
- 具体每个模块的规则就像DataPermissionConfiguration 定义 DeptDataPermissionRuleCustomizer,为 DeptDataPermissionRule 配置特定表和字段(如 AdminUserDO、DeptDO)。
```java
/**
* 数据权限的自动配置类
* DataPermissionRuleFactory:管理所有 DataPermissionRule 实例。
* DataPermissionRuleHandler:通过 DataPermissionInterceptor 集成到 MyBatis Plus 拦截器链
* DataPermissionAnnotationAdvisor:支持基于注解的权限控制
*/
@AutoConfiguration
public class YudaoDataPermissionAutoConfiguration {
/**
* 创建数据权限规则的工厂,管理所有数据权限规则的集合
* @param rules
* @return
*/
@Bean
public DataPermissionRuleFactory dataPermissionRuleFactory(List<DataPermissionRule> rules) {
return new DataPermissionRuleFactoryImpl(rules);
}
/**
* 处理数据权限规则的核心处理器
* @param interceptor
* @param ruleFactory
* @return
*/
@Bean
public DataPermissionRuleHandler dataPermissionRuleHandler(MybatisPlusInterceptor interceptor,
DataPermissionRuleFactory ruleFactory) {
// 创建 DataPermissionInterceptor 拦截器
DataPermissionRuleHandler handler = new DataPermissionRuleHandler(ruleFactory);
DataPermissionInterceptor inner = new DataPermissionInterceptor(handler);
// 添加到 interceptor 中
// 需要加在首个,主要是为了在分页插件前面。这个是 MyBatis Plus 的规定
MyBatisUtils.addInterceptor(interceptor, inner, 0);
return handler;
}
/**
* 提供基于注解的数据权限控制
* @return
*/
@Bean
public DataPermissionAnnotationAdvisor dataPermissionAnnotationAdvisor() {
return new DataPermissionAnnotationAdvisor();
}
}
```
```java
/**
* 基于部门的数据权限 AutoConfiguration
* YudaoDeptDataPermissionAutoConfiguration(在满足条件时)创建 DeptDataPermissionRule Bean,
* 并通过 DeptDataPermissionRuleCustomizer 配置部门相关规则。
*/
@AutoConfiguration
@ConditionalOnClass(LoginUser.class)
@ConditionalOnBean(value = {PermissionApi.class, DeptDataPermissionRuleCustomizer.class})
public class YudaoDeptDataPermissionAutoConfiguration {
/**
* 创建一个 DeptDataPermissionRule 对象,并将 permissionApi 作为参数传递给其构造函数。
* 遍历 customizers 列表,调用每个 DeptDataPermissionRuleCustomizer 的 customize 方法
* 对 rule 对象进行自定义配置。
* 返回配置好的 DeptDataPermissionRule 对象。
* @param permissionApi
* @param customizers
* @return
*/
@Bean
public DeptDataPermissionRule deptDataPermissionRule(PermissionApi permissionApi,
List<DeptDataPermissionRuleCustomizer> customizers) {
// 创建 DeptDataPermissionRule 对象
DeptDataPermissionRule rule = new DeptDataPermissionRule(permissionApi);
// 补全表配置
customizers.forEach(customizer -> customizer.customize(rule));
return rule;
}
}
```
```java
/**
* system 模块的数据权限 Configuration
*/
@Configuration(proxyBeanMethods = false)
public class DataPermissionConfiguration {
@Bean
public DeptDataPermissionRuleCustomizer sysDeptDataPermissionRuleCustomizer() {
return rule -> {
// dept
rule.addDeptColumn(AdminUserDO.class);
rule.addDeptColumn(DeptDO.class, "id");
// user
rule.addUserColumn(AdminUserDO.class, "id");
};
}
}
```2.2发起 MyBatis Plus 查询:
- 通过 MyBatis Mapper 方法(如 selectList)发起数据库查询。
- 生成查询的 mappedStatementId,例如 com.example.UserMapper.selectList。
2.3MyBatis Plus 拦截器链处理:
- MyBatis Plus 通过拦截器链处理查询。
- DataPermissionInterceptor(在 YudaoDataPermissionAutoConfiguration 中添加到 MybatisPlusInterceptor)在链的早期(位置 0,优先于分页插件)被调用。
- DataPermissionInterceptor 委托给 DataPermissionRuleHandler 的 getSqlSegment 方法。
```java
/**
* 基于 {@link DataPermissionRule} 的数据权限处理器
*
* 它的底层,是基于 MyBatis Plus 的 <a href="https://baomidou.com/plugins/data-permission/">数据权限插件</a>
* 核心原理:它会在 SQL 执行前拦截 SQL 语句,并根据用户权限动态添加权限相关的 SQL 片段。这样,只有用户有权限访问的数据才会被查询出来
*/
@RequiredArgsConstructor
public class DataPermissionRuleHandler implements MultiDataPermissionHandler {
//ruleFactory 是一个"规则工厂",它是一个工具,专门用来提供"权限规则"。
private final DataPermissionRuleFactory ruleFactory;
//Table table:表示你要查的表;
//Expression where:表示你原来的查询条件(比如 WHERE id = 1)
//String mappedStatementId:一个字符串,表示你正在调用的查询方法
@Override
public Expression getSqlSegment(Table table, Expression where, String mappedStatementId) {
// 获得 Mapper 对应的数据权限的规则
List<DataPermissionRule> rules = ruleFactory.getDataPermissionRule(mappedStatementId);
if (CollUtil.isEmpty(rules)) {
return null;
}
// 生成条件,allExpression,用来存放最终的权限条件
Expression allExpression = null;
for (DataPermissionRule rule : rules) {
// 判断表名是否匹配,规则是否管理当前的表
String tableName = MyBatisUtils.getTableName(table);
if (!rule.getTableNames().contains(tableName)) {
continue;
}
// 单条规则的条件,对于这个表(tableName),它的限制条件是什么
Expression oneExpress = rule.getExpression(tableName, table.getAlias());
if (oneExpress == null) {
continue;
}
// 拼接到 allExpression 中
allExpression = allExpression == null ? oneExpress
: new AndExpression(allExpression, oneExpress);
}
return allExpression;
}
}
```2.4DataPermissionRuleHandler 处理:
- DataPermissionRuleHandler 从 DataPermissionRuleFactory 获取适用于当前查询的 DataPermissionRule 列表(通过 getDataPermissionRule(mappedStatementId))。
- DataPermissionRuleFactoryImpl 根据 DataPermissionContextHolder 过滤规则:
- 无上下文:返回所有规则。
- 有上下文:根据 enable()、includeRules 或 excludeRules 过滤。
- 对每个适用规则(如 DeptDataPermissionRule),检查是否适用于查询的表(tableName)。
- 如果适用,调用规则的 getExpression 方法生成 SQL 条件(Expression)。
```java
/**
* 默认的 DataPermissionRuleFactoryImpl 实现类
* 支持通过 {@link DataPermissionContextHolder} 过滤数据权限
*/
@RequiredArgsConstructor
public class DataPermissionRuleFactoryImpl implements DataPermissionRuleFactory {
/**
* 数据权限规则数组
*/
private final List<DataPermissionRule> rules;
@Override
public List<DataPermissionRule> getDataPermissionRules() {
return rules;
}
@Override // mappedStatementId 参数,暂时没有用。以后,可以基于 mappedStatementId + DataPermission 进行缓存
public List<DataPermissionRule> getDataPermissionRule(String mappedStatementId) {
// 1. 无数据权限
if (CollUtil.isEmpty(rules)) {
return Collections.emptyList();
}
// 2. 未配置,则默认开启
DataPermission dataPermission = DataPermissionContextHolder.get();
if (dataPermission == null) {
return rules;
}
// 3. 已配置,但禁用
if (!dataPermission.enable()) {
return Collections.emptyList();
}
// 4. 已配置,只选择部分规则
if (ArrayUtil.isNotEmpty(dataPermission.includeRules())) {
return rules.stream().filter(rule -> ArrayUtil.contains(dataPermission.includeRules(), rule.getClass()))
.collect(Collectors.toList()); // 一般规则不会太多,所以不采用 HashSet 查询
}
// 5. 已配置,只排除部分规则
if (ArrayUtil.isNotEmpty(dataPermission.excludeRules())) {
return rules.stream().filter(rule -> !ArrayUtil.contains(dataPermission.excludeRules(), rule.getClass()))
.collect(Collectors.toList()); // 一般规则不会太多,所以不采用 HashSet 查询
}
// 6. 已配置,全部规则
return rules;
}
}
```2.5DeptDataPermissionRule 处理:
- DeptDataPermissionRule 检查是否存在登录用户(LoginUser)并验证用户是否为管理员(UserTypeEnum.ADMIN)。
- 从用户上下文或通过 PermissionApi.getDeptDataPermission 获取部门数据权限(DeptDataPermissionRespDTO)。
- 根据权限设置(all、deptIds、self)构建 SQL 条件:
- buildDeptExpression:若 deptIds 不为空且表配置了 dept_id 字段,生成 WHERE dept_id IN (...)。
- buildUserExpression:若 self 为 true 且表配置了 user_id 字段,生成 WHERE user_id = ?。
- 使用 OR 组合条件或返回单一条件。
- 将生成的 Expression 转换为 SQL 片段(如 dept_id IN (1, 2) OR user_id = 100)。
```java
/**
* 基于部门的 {@link DataPermissionRule} 数据权限规则实现
*
* 注意,使用 DeptDataPermissionRule 时,需要保证表中有 dept_id 部门编号的字段,可自定义。
*
* 实际业务场景下,会存在一个经典的问题?当用户修改部门时,冗余的 dept_id 是否需要修改?
* 1. 一般情况下,dept_id 不进行修改,则会导致用户看不到之前的数据。【moyun-server 采用该方案】
* 2. 部分情况下,希望该用户还是能看到之前的数据,则有两种方式解决:【需要你改造该 DeptDataPermissionRule 的实现代码】
* 1)编写洗数据的脚本,将 dept_id 修改成新部门的编号;【建议】
* 最终过滤条件是 WHERE dept_id = ?
* 2)洗数据的话,可能涉及的数据量较大,也可以采用 user_id 进行过滤的方式,此时需要获取到 dept_id 对应的所有 user_id 用户编号;
* 最终过滤条件是 WHERE user_id IN (?, ?, ? ...)
* 3)想要保证原 dept_id 和 user_id 都可以看的到,此时使用 dept_id 和 user_id 一起过滤;
* 最终过滤条件是 WHERE dept_id = ? OR user_id IN (?, ?, ? ...)
*/
@AllArgsConstructor
@Slf4j
public class DeptDataPermissionRule implements DataPermissionRule {
/**
* LoginUser 的 Context 缓存 Key
*/
protected static final String CONTEXT_KEY = DeptDataPermissionRule.class.getSimpleName();
private static final String DEPT_COLUMN_NAME = "dept_id";
private static final String USER_COLUMN_NAME = "user_id";
static final Expression EXPRESSION_NULL = new NullValue();
private final PermissionApi permissionApi;
/**
* 基于部门的表字段配置
* 一般情况下,每个表的部门编号字段是 dept_id,通过该配置自定义
*
* key:表名
* value:字段名
*/
private final Map<String, String> deptColumns = new HashMap<>();
/**
* 基于用户的表字段配置
* 一般情况下,每个表的部门编号字段是 dept_id,通过该配置自定义。
*
* key:表名
* value:字段名
*/
private final Map<String, String> userColumns = new HashMap<>();
/**
* 所有表名,是 {@link #deptColumns} 和 {@link #userColumns} 的合集
*/
private final Set<String> TABLE_NAMES = new HashSet<>();
@Override
public Set<String> getTableNames() {
return TABLE_NAMES;
}
@Override
public Expression getExpression(String tableName, Alias tableAlias) {
// 只有有登陆用户的情况下,才进行数据权限的处理
LoginUser loginUser = SecurityFrameworkUtils.getLoginUser();
if (loginUser == null) {
return null;
}
// 只有管理员类型的用户,才进行数据权限的处理
if (ObjectUtil.notEqual(loginUser.getUserType(), UserTypeEnum.ADMIN.getValue())) {
return null;
}
// 获得数据权限
DeptDataPermissionRespDTO deptDataPermission = loginUser.getContext(CONTEXT_KEY, DeptDataPermissionRespDTO.class);
// 从上下文中拿不到,则调用逻辑进行获取
if (deptDataPermission == null) {
deptDataPermission = permissionApi.getDeptDataPermission(loginUser.getId());
if (deptDataPermission == null) {
log.error("[getExpression][LoginUser({}) 获取数据权限为 null]", JsonUtils.toJsonString(loginUser));
throw new NullPointerException(String.format("LoginUser(%d) Table(%s/%s) 未返回数据权限",
loginUser.getId(), tableName, tableAlias.getName()));
}
// 添加到上下文中,避免重复计算
loginUser.setContext(CONTEXT_KEY, deptDataPermission);
}
// 情况一,如果是 ALL 可查看全部,则无需拼接条件
if (deptDataPermission.getAll()) {
return null;
}
// 情况二,即不能查看部门,又不能查看自己,则说明 100% 无权限
if (CollUtil.isEmpty(deptDataPermission.getDeptIds())
&& Boolean.FALSE.equals(deptDataPermission.getSelf())) {
return new EqualsTo(null, null); // WHERE null = null,可以保证返回的数据为空
}
// 情况三,拼接 Dept 和 User 的条件,最后组合
Expression deptExpression = buildDeptExpression(tableName,tableAlias, deptDataPermission.getDeptIds());
Expression userExpression = buildUserExpression(tableName, tableAlias, deptDataPermission.getSelf(), loginUser.getId());
if (deptExpression == null && userExpression == null) {
// TODO 芋艿:获得不到条件的时候,暂时不抛出异常,而是不返回数据
log.warn("[getExpression][LoginUser({}) Table({}/{}) DeptDataPermission({}) 构建的条件为空]",
JsonUtils.toJsonString(loginUser), tableName, tableAlias, JsonUtils.toJsonString(deptDataPermission));
// throw new NullPointerException(String.format("LoginUser(%d) Table(%s/%s) 构建的条件为空",
// loginUser.getId(), tableName, tableAlias.getName()));
return EXPRESSION_NULL;
}
if (deptExpression == null) {
return userExpression;
}
if (userExpression == null) {
return deptExpression;
}
// 目前,如果有指定部门 + 可查看自己,采用 OR 条件。即,WHERE (dept_id IN ? OR user_id = ?)
return new ParenthesedExpressionList(new OrExpression(deptExpression, userExpression));
}
private Expression buildDeptExpression(String tableName, Alias tableAlias, Set<Long> deptIds) {
// 如果不存在配置,则无需作为条件
String columnName = deptColumns.get(tableName);
if (StrUtil.isEmpty(columnName)) {
return null;
}
// 如果为空,则无条件
if (CollUtil.isEmpty(deptIds)) {
return null;
}
// 拼接条件
return new InExpression(MyBatisUtils.buildColumn(tableName, tableAlias, columnName),
// Parenthesis 的目的,是提供 (1,2,3) 的 () 左右括号
new ParenthesedExpressionList(new ExpressionList<LongValue>(CollectionUtils.convertList(deptIds, LongValue::new))));
}
private Expression buildUserExpression(String tableName, Alias tableAlias, Boolean self, Long userId) {
// 如果不查看自己,则无需作为条件
if (Boolean.FALSE.equals(self)) {
return null;
}
String columnName = userColumns.get(tableName);
if (StrUtil.isEmpty(columnName)) {
return null;
}
// 拼接条件
return new EqualsTo(MyBatisUtils.buildColumn(tableName, tableAlias, columnName), new LongValue(userId));
}
// ==================== 添加配置 ====================
public void addDeptColumn(Class<? extends BaseDO> entityClass) {
addDeptColumn(entityClass, DEPT_COLUMN_NAME);
}
public void addDeptColumn(Class<? extends BaseDO> entityClass, String columnName) {
String tableName = TableInfoHelper.getTableInfo(entityClass).getTableName();
addDeptColumn(tableName, columnName);
}
public void addDeptColumn(String tableName, String columnName) {
deptColumns.put(tableName, columnName);
TABLE_NAMES.add(tableName);
}
public void addUserColumn(Class<? extends BaseDO> entityClass) {
addUserColumn(entityClass, USER_COLUMN_NAME);
}
public void addUserColumn(Class<? extends BaseDO> entityClass, String columnName) {
String tableName = TableInfoHelper.getTableInfo(entityClass).getTableName();
addUserColumn(tableName, columnName);
}
public void addUserColumn(String tableName, String columnName) {
userColumns.put(tableName, columnName);
TABLE_NAMES.add(tableName);
}
}
```2.6SQL 修改与执行:
- DataPermissionInterceptor 将 SQL 片段追加到原始查询的 WHERE 子句。
- MyBatis Plus 继续通过其他拦截器(如分页)处理修改后的 SQL。
- 最终 SQL 执行,数据库返回仅限于用户有权限的数据。
2.7示例场景
Dart
假设用户(ID: 100,管理员类型)查询用户列表(AdminUserDO),配置如下:
查询通过 UserMapper.selectList(new QueryWrapper<>()) 执行。
用户权限:deptIds = [1, 2],self = true。
AdminUserDO 在 DataPermissionConfiguration 中配置了 dept_id 和 user_id 字段。
分步执行:
1. 查询发起:
Mapper 方法:com.example.UserMapper.selectList。
原始 SQL:SELECT * FROM admin_user。
2. 拦截器调用:
DataPermissionInterceptor 拦截查询,调用 DataPermissionRuleHandler.getSqlSegment。
3.规则获取:
DataPermissionRuleHandler 调用 DataPermissionRuleFactoryImpl.getDataPermissionRule("com.example.UserMapper.selectList")。
返回 [DeptDataPermissionRule](假设无上下文过滤)。
4. 表匹配:
表名:admin_user。
DeptDataPermissionRule.getTableNames() 包含 admin_user,规则适用。
5. 条件生成:
调用 DeptDataPermissionRule.getExpression("admin_user", alias)。
用户已登录(ID: 100,管理员)。
获取 DeptDataPermissionRespDTO:{ all: false, deptIds: [1, 2], self: true }。
buildDeptExpression:deptColumns 映射 admin_user 到 dept_id,生成 dept_id IN (1, 2)。
buildUserExpression:userColumns 映射 admin_user 到 user_id,self = true,生成 user_id = 100。
组合:(dept_id IN (1, 2) OR user_id = 100)。
6. SQL 修改:
修改后 SQL:SELECT * FROM admin_user WHERE (dept_id IN (1, 2) OR user_id = 100)。
7. 执行:
数据库执行修改后的 SQL,仅返回部门 1 或 2 的用户,或 user_id = 100 的用户。每个类功能详解
以下是每个类的功能描述以及它们之间的联系。
3.解释类
3.1类详解
- YudaoDataPermissionAutoConfiguration :
- 目的:配置数据权限核心组件。
- 功能 :
- 创建 DataPermissionRuleFactory,管理所有 DataPermissionRule。
- 创建 DataPermissionRuleHandler,通过 DataPermissionInterceptor 集成到 MyBatis Plus。
- 提供 DataPermissionAnnotationAdvisor,支持注解驱动的权限控制。
- 关键 Bean :
- dataPermissionRuleFactory:返回 DataPermissionRuleFactoryImpl。
- dataPermissionRuleHandler:配置 MyBatis Plus 拦截器链。
- dataPermissionAnnotationAdvisor:启用注解权限。
- YudaoDeptDataPermissionAutoConfiguration :
- 目的:配置基于部门的数据权限。
- 功能 :
- 在 LoginUser、PermissionApi 和 DeptDataPermissionRuleCustomizer 存在时激活。
- 创建 DeptDataPermissionRule,通过 DeptDataPermissionRuleCustomizer 进行定制。
- 关键 Bean :
- deptDataPermissionRule:初始化并配置部门规则。
- DataPermissionRuleHandler :
- 目的:应用数据权限规则的核心处理器。
- 功能 :
- 从 DataPermissionRuleFactory 获取适用规则。
- 遍历规则,检查表适用性,生成 SQL 条件。
- 使用 AND 组合多条规则的条件。
- 关键方法 :
- getSqlSegment:为给定表和查询生成 SQL 片段。
- DataPermissionRuleFactoryImpl :
- 目的:管理和过滤数据权限规则。
- 功能 :
- 存储 DataPermissionRule 列表。
- 根据 DataPermissionContextHolder 过滤规则(enable、includeRules、excludeRules)。
- 关键方法 :
- getDataPermissionRules:返回所有规则。
- getDataPermissionRule:为特定查询过滤规则。
- DeptDataPermissionRule :
- 目的:实现基于部门的数据权限逻辑。
- 功能 :
- 配置表的 dept_id 和 user_id 字段。
- 根据用户权限(deptIds、self)生成 SQL 条件。
- 支持动态字段映射(deptColumns、userColumns)。
- 关键方法 :
- getTableNames:返回受控表。
- getExpression:为表构建 SQL 条件。
- buildDeptExpression / buildUserExpression:生成部门/用户条件。
- 配置方法(如 addDeptColumn、addUserColumn)。
- DeptDataPermissionRuleCustomizer :
- 目的:为 DeptDataPermissionRule 提供定制接口。
- 功能 :
- 允许外部配置表-字段映射。
- 在 DataPermissionConfiguration 中实现,为特定表(如 AdminUserDO)设置规则。
- DataPermissionConfiguration :
- 目的:为系统模块提供特定配置。
- 功能 :
- 定义 DeptDataPermissionRuleCustomizer,为 DeptDataPermissionRule 配置 AdminUserDO 和 DeptDO 的字段映射。
3.2类之间的关系
- YudaoDataPermissionAutoConfiguration 是入口,搭建核心框架,创建 DataPermissionRuleFactory、DataPermissionRuleHandler 和注解支持。
- YudaoDeptDataPermissionAutoConfiguration 扩展框架,添加部门特定规则,依赖 DataPermissionRuleFactory 注册 DeptDataPermissionRule。
- DataPermissionRuleHandler 是运行时处理器,连接 DataPermissionRuleFactory(提供规则)和 MyBatis Plus(通过 DataPermissionInterceptor)。
- DataPermissionRuleFactoryImpl 作为规则仓库,管理包括 DeptDataPermissionRule 在内的规则,支持动态过滤。
- DeptDataPermissionRule 是具体规则实现,由 DeptDataPermissionRuleCustomizer 配置,被 DataPermissionRuleHandler 使用。
- DeptDataPermissionRuleCustomizer(通过 DataPermissionConfiguration)为 DeptDataPermissionRule 提供表特定配置。
- PermissionApi 和 LoginUser 是外部依赖,提供用户权限数据和上下文。
3.3类形成分层架构:
- 配置层:YudaoDataPermissionAutoConfiguration、YudaoDeptDataPermissionAutoConfiguration、DataPermissionConfiguration。
- 核心逻辑层:DataPermissionRuleHandler、DataPermissionRuleFactoryImpl。
- 规则层:DeptDataPermissionRule。
- 定制层:DeptDataPermissionRuleCustomizer。