文章首发于我的博客:https://blog.liuzijian.com/post/source-code-yudao-data-permission.html
博主和芋道源码作者及其官方开发团队无任何关联
一、引言
芋道的数据权限模块代码,涉及的类和方法很多,环环相扣,必要运行项目一步一步debug分析才能看懂。该模块的代码按照功能细分,大抵可以分为两部门:
1.数据权限SQL拦截器:根据定义好的数据权限规则来为涉及到的表在更新、查询和删除时重写(追加)SQL条件,使得用户只能访问到权限范围内的数据。
2.数据权限注解处理器:基于Spring AOP实现,通过自定义一个数据权限注解并实现一个注解处理器来为某些方法单独指定数据权限规则。
两个部门必要共同利用。
二、数据权限SQL拦截器
2.4.0-jdk8-SNAPSHOT版本的数据权限功能是基于mybatis-plus的插件机制实现的,具体是对实行修改、删除和查询的SQL进行拦截、解析,然后再根据数据权限规则对必要限制的表重写(追加)查询条件。利用该插件必要实现MultiDataPermissionHandler接口。
2.1 主要涉及类和接口
2.1.1 Class Diagram
2.1.2 mybatis-plus
- com.baomidou.mybatisplus.extension.plugins.inner.DataPermissionInterceptor 类,数据权限的入口,实行解析和重写逻辑,并参加到mp插件队列中。
- com.baomidou.mybatisplus.extension.plugins.inner.BaseMultiTableInnerInterceptor 抽象类,被DataPermissionInterceptor类继承,继承自JsqlParserSupport。提供SQL深度解析能力,遍历SQL语句中各个必要拼接条件的位置,在调用子类来根据不同的表和字段进行SQL重写。
- com.baomidou.mybatisplus.extension.parser.JsqlParserSupport 抽象类,是mp对jsqlparser的封装,更好的实现SQL的解析。
- com.baomidou.mybatisplus.extension.plugins.inner.InnerInterceptor 接口,被DataPermissionInterceptor类实现,由mp调用,在得当时机触发实现类去实行相关方法,进而使实现类实行SQL解析和重写的功能。
- com.baomidou.mybatisplus.extension.plugins.handler.MultiDataPermissionHandler 接口,用于获取数据权限,由实现类来根据不同的表和字段进行SQL重写。
- com.baomidou.mybatisplus.extension.plugins.handler.DataPermissionHandler 接口,作用同MultiDataPermissionHandler。
2.1.3 yudao
- cn.iocoder.yudao.framework.datapermission.core.db.DataPermissionRuleHandler 类,间接实现DataPermissionHandler接口,根据mp传来的表名和对应where条件,寻找匹配的数据权限规则来进行数据权限SQL条件的重写,并将符合的多个数据权限策略各自天生的条件进行拼接,返回给mp权限插件。
- cn.iocoder.yudao.framework.datapermission.core.rule.DataPermissionRuleFactory 接口,数据权限工厂,实现类来根据现实场景对全部适用的数据权限类根据现实情况进行一些筛选或修改,实现在一些特殊场景下改变数据权限的范围,效力以及优先级。
- cn.iocoder.yudao.framework.datapermission.core.rule.DataPermissionRuleFactoryImpl 类,DataPermissionRuleFactory的实现。
- cn.iocoder.yudao.framework.datapermission.core.rule.DataPermissionRule 接口,由实现类继承厥后实现某种数据权限规则。
- cn.iocoder.yudao.framework.datapermission.core.rule.dept.DeptDataPermissionRule 类,yudao项目默认的数据权限,通过实现DataPermissionRule接口实现了部门级别的数据权限规则。
2.2 实行流程源码解读
2.2.1 Sequence Diagram
2.2.2 DataPermissionInterceptor
该类是mybatis-plus数据权限插件的实行入口,是SQL解析和重写功能的起点。
该类在SQL实行前,会对实行的动作进行拦截,并拿到要实行的SQL,递归对SQL语句各处进行扫描,扫描到表和条件时,调用DataPermissionHandler获取当前表的数据权限where条件(Expression)对象,再和业务逻辑的where条件拼在一起,从而实现数据库层面的数据权限控制。- public class DataPermissionInterceptor extends BaseMultiTableInnerInterceptor implements InnerInterceptor {
- private DataPermissionHandler dataPermissionHandler;
- @SuppressWarnings("RedundantThrows")
- @Override
- public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
- if (InterceptorIgnoreHelper.willIgnoreDataPermission(ms.getId())) {
- return;
- }
- PluginUtils.MPBoundSql mpBs = PluginUtils.mpBoundSql(boundSql);
- mpBs.sql(parserSingle(mpBs.sql(), ms.getId()));
- }
- @Override
- public void beforePrepare(StatementHandler sh, Connection connection, Integer transactionTimeout) {
- PluginUtils.MPStatementHandler mpSh = PluginUtils.mpStatementHandler(sh);
- MappedStatement ms = mpSh.mappedStatement();
- SqlCommandType sct = ms.getSqlCommandType();
- if (sct == SqlCommandType.UPDATE || sct == SqlCommandType.DELETE) {
- if (InterceptorIgnoreHelper.willIgnoreDataPermission(ms.getId())) {
- return;
- }
- PluginUtils.MPBoundSql mpBs = mpSh.mPBoundSql();
- mpBs.sql(parserMulti(mpBs.sql(), ms.getId()));
- }
- }
- ......
- @Override
- public Expression buildTableExpression(final Table table, final Expression where, final String whereSegment) {
- if (dataPermissionHandler == null) {
- return null;
- }
- // 只有新版数据权限处理器才会执行到这里
- final MultiDataPermissionHandler handler = (MultiDataPermissionHandler) dataPermissionHandler;
- return handler.getSqlSegment(table, where, whereSegment);
- }
- }
解读:
- beforeQuery()和beforePrepare()是从接口InnerInterceptor继承来的方法,由mybatis-plus在SQL查询前或者预编译(增删改)前回调并传入要实行的SQL,从而叫该类对即将实行的SQL进行某些操作。两个方法都会调用mpBs.sql(parserXxxx(......))方法对SQL进行解析重写,beforeQuery()调用的是parserSingle(......),只能处理单条SQL。beforePrepare()调用的是parserMulti(......),可以处理多条SQL,由于jdbc能一次实行用分号间隔的多条增删改SQL语句,就必要parserMulti将每次实行的语句分开,假如确实是一次实行多条的情况,就必要逐个进行解析和重写,再将新的拼接在一起,而查询一次只能实行一条,故采用parserSingle即可。
- parserSingle()和parserMulti()都是间接继承自抽象类JsqlParserSupport的方法,用于启动多条和单条SQL的递归解析,解析获取SQL语句每个部门上的表和对应的条件信息,再调用buildTableExpression()方法,并在方法内再调用handler.getSqlSegment(table, where, whereSegment);,将解析到的表table及条件where和当前实行目标whereSegment传入,向DataPermissionRuleHandler获取当前表的数据权限规则。
- 为了更好的对要处理的SQL进行改写,beforeQuery()将mybatis的BoundSql boundSql对象转换为mybatis-plus的MPBoundSql mpBs对象。beforePrepare()将mybatis的StatementHandler sh转换为mybatis-plus的MPStatementHandler mpSh对象后再获取mybatis-plus的MPBoundSql mpBs对象。
- 新增不涉及数据权限,因此beforePrepare()方法中不会针对insert的情况进行处理。
2.2.3 DataPermissionRuleHandler
该类是接口DataPermissionHandler的实现,供拦截器DataPermissionInterceptor调用,用于找到某个表在当前业务下适用的全部的数据权限规则,并汇总,然后再返回一个总的数据权限规则对象给拦截器- @RequiredArgsConstructor
- public class DataPermissionRuleHandler implements MultiDataPermissionHandler {
- private final DataPermissionRuleFactory ruleFactory;
- @Override
- public Expression getSqlSegment(Table table, Expression where, String mappedStatementId) {
- // 获得 Mapper 对应的数据权限的规则
- List<DataPermissionRule> rules = ruleFactory.getDataPermissionRule(mappedStatementId);
- if (CollUtil.isEmpty(rules)) {
- return null;
- }
- // 生成条件
- Expression allExpression = null;
- for (DataPermissionRule rule : rules) {
- // 判断表名是否匹配
- String tableName = MyBatisUtils.getTableName(table);
- if (!rule.getTableNames().contains(tableName)) {
- continue;
- }
- // 单条规则的条件
- Expression oneExpress = rule.getExpression(tableName, table.getAlias());
- if (oneExpress == null) {
- continue;
- }
- // 拼接到 allExpression 中
- allExpression = allExpression == null ? oneExpress
- : new AndExpression(allExpression, oneExpress);
- }
- return allExpression;
- }
- }
解读:
- 拦截器DataPermissionInterceptor解析到具体的表时会调用该类的getSqlSegment(Table table, Expression where, String mappedStatementId)方法,传入表table,已有条件where和当前实行的目标mappedStatementId,数据权限这里只会用到参数table,没有用到where和mappedStatementId。
- List rules = ruleFactory.getDataPermissionRule(mappedStatementId);用于从ruleFactory数据权限规则工厂对象获取全部当前业务下生效了的数据权限,假如没有数据权限规则直接返回null,假如有定义好的数据权限规则对象则进行下一步的匹配,参数mappedStatementId在这个版本的源码中并没有现实用到。
- for (DataPermissionRule rule : rules)循环遍历当宿世效的全部数据权限规则对象List rules,通过if (!rule.getTableNames().contains(tableName))判断当前表在哪些规则下不必要数据权限进行跳过,没有跳过的都必要进行数据权限条件拼接,假如都跳过了就等于返回null。
- 终极返回的规则对象是一个总的规则allExpression,假如某个表匹配了多个DataPermissionRule规则,则用AndExpression(allExpression, oneExpress)拼接每个表的规则oneExpress到总的规则allExpression上面,终极allExpression作为当前表的数据权限规则返回。
假如一个表适用多个数据权限规则,则终极的SQL条件之间是and的关系
2.2.4 DataPermissionRuleFactory
数据权限规则"工厂",供DataPermissionRuleHandler调用来获取当前业务下适用的数据权限规则,该类会共同数据权限注解处理器来利用,从线程上下文DataPermissionContextHolder中获取加了@DataPermission数据权限注解且是最近一级调用当前mapper实行SQL的谁人业务方法上面的@DataPermission注解,根据注解上的数据权限规则进行匹配,返回当前业务方法下具体适用的数据权限规则,而不是简朴的把全部定义好了的数据权限规则都返回。- public interface DataPermissionRuleFactory {
- /**
- * 获得所有数据权限规则数组
- *
- * @return 数据权限规则数组
- */
- List<DataPermissionRule> getDataPermissionRules();
- /**
- * 获得指定 Mapper 的数据权限规则数组
- *
- * @param mappedStatementId 指定 Mapper 的编号
- * @return 数据权限规则数组
- */
- List<DataPermissionRule> getDataPermissionRule(String mappedStatementId);
- }
- @RequiredArgsConstructor
- public class DataPermissionRuleFactoryImpl implements DataPermissionRuleFactory {
- /**
- * 数据权限规则数组
- */
- private final List<DataPermissionRule> rules;
- @Override
- public List<DataPermissionRule> getDataPermissionRules() {
- return rules;
- }
- @Override // mappedStatementId 参数,暂时没有用。以后,可以基于 mappedStatementId + DataPermission 进行缓存
- public List<DataPermissionRule> getDataPermissionRule(String mappedStatementId) {
- // 1. 无数据权限
- if (CollUtil.isEmpty(rules)) {
- return Collections.emptyList();
- }
- // 2. 未配置,则默认开启
- DataPermission dataPermission = DataPermissionContextHolder.get();
- if (dataPermission == null) {
- return rules;
- }
- // 3. 已配置,但禁用
- if (!dataPermission.enable()) {
- return Collections.emptyList();
- }
- // 4. 已配置,只选择部分规则
- if (ArrayUtil.isNotEmpty(dataPermission.includeRules())) {
- return rules.stream().filter(rule -> ArrayUtil.contains(dataPermission.includeRules(), rule.getClass()))
- .collect(Collectors.toList()); // 一般规则不会太多,所以不采用 HashSet 查询
- }
- // 5. 已配置,只排除部分规则
- if (ArrayUtil.isNotEmpty(dataPermission.excludeRules())) {
- return rules.stream().filter(rule -> !ArrayUtil.contains(dataPermission.excludeRules(), rule.getClass()))
- .collect(Collectors.toList()); // 一般规则不会太多,所以不采用 HashSet 查询
- }
- // 6. 已配置,全部规则
- return rules;
- }
- }
- DataPermissionContextHolder.get()从线程上下文获取数据权限注解处理器为当前实行的SQL具体指定的数据权限规则。
2.2.5 DataPermissionRule
DataPermissionRule,数据权限规则接口,用于定义某种数据权限规则,必要通过getTableNames()来声明适用的表,再通过Expression getExpression(String tableName, Alias tableAlias)来定义某个表的数据权限条件- public interface DataPermissionRule {
- /**
- * 返回需要生效的表名数组
- * 为什么需要该方法?Data Permission 数组基于 SQL 重写,通过 Where 返回只有权限的数据
- *
- * 如果需要基于实体名获得表名,可调用 {@link TableInfoHelper#getTableInfo(Class)} 获得
- *
- * @return 表名数组
- */
- Set<String> getTableNames();
- /**
- * 根据表名和别名,生成对应的 WHERE / OR 过滤条件
- *
- * @param tableName 表名
- * @param tableAlias 别名,可能为空
- * @return 过滤条件 Expression 表达式
- */
- Expression getExpression(String tableName, Alias tableAlias);
- }
[code]@AllArgsConstructor@Slf4jpublic class DeptDataPermissionRule implements DataPermissionRule { /** * LoginUser 的 Context 缓存 Key */ protected static final String CONTEXT_KEY = DeptDataPermissionRule.class.getSimpleName(); private static final String DEPT_COLUMN_NAME = "dept_id"; private static final String USER_COLUMN_NAME = "user_id"; static final Expression EXPRESSION_NULL = new NullValue(); private final PermissionApi permissionApi; /** * 基于部门的表字段配置 * 一样平常情况下,每个表的部门编号字段是 dept_id,通过该配置自定义。 * * key:表名 * value:字段名 */ private final Map deptColumns = new HashMap(); /** * 基于用户的表字段配置 * 一样平常情况下,每个表的部门编号字段是 dept_id,通过该配置自定义。 * * key:表名 * value:字段名 */ private final Map userColumns = new HashMap(); /** * 全部表名,是 {@link #deptColumns} 和 {@link #userColumns} 的合集 */ private final Set TABLE_NAMES = new HashSet(); @Override public Set getTableNames() { return TABLE_NAMES; } @Override public Expression getExpression(String tableName, Alias tableAlias) { // 只有有登陆用户的情况下,才进行数据权限的处理 LoginUser loginUser = SecurityFrameworkUtils.getLoginUser(); if (loginUser == null) { return null; } // 只有管理员范例的用户,才进行数据权限的处理 if (ObjectUtil.notEqual(loginUser.getUserType(), UserTypeEnum.ADMIN.getValue())) { return null; } // 得到数据权限 DeptDataPermissionRespDTO deptDataPermission = loginUser.getContext(CONTEXT_KEY, DeptDataPermissionRespDTO.class); // 从上下文中拿不到,则调用逻辑进行获取 if (deptDataPermission == null) { deptDataPermission = permissionApi.getDeptDataPermission(loginUser.getId()); if (deptDataPermission == null) { log.error("[getExpression][LoginUser({}) 获取数据权限为 null]", JsonUtils.toJsonString(loginUser)); throw new NullPointerException(String.format("LoginUser(%d) Table(%s/%s) 未返回数据权限", loginUser.getId(), tableName, tableAlias.getName())); } // 添加到上下文中,避免重复计算 loginUser.setContext(CONTEXT_KEY, deptDataPermission); } // 情况一,假如是 ALL 可查看全部,则无需拼接条件 if (deptDataPermission.getAll()) { return null; } // 情况二,即不能查看部门,又不能查看自己,则说明 100% 无权限 if (CollUtil.isEmpty(deptDataPermission.getDeptIds()) && Boolean.FALSE.equals(deptDataPermission.getSelf())) { return new EqualsTo(null, null); // WHERE null = null,可以包管返回的数据为空 } // 情况三,拼接 Dept 和 User 的条件,末了组合 Expression deptExpression = buildDeptExpression(tableName,tableAlias, deptDataPermission.getDeptIds()); Expression userExpression = buildUserExpression(tableName, tableAlias, deptDataPermission.getSelf(), loginUser.getId()); if (deptExpression == null && userExpression == null) { // TODO 芋艿:得到不到条件的时间,暂时不抛出异常,而是不返回数据 log.warn("[getExpression][LoginUser({}) Table({}/{}) DeptDataPermission({}) 构建的条件为空]", JsonUtils.toJsonString(loginUser), tableName, tableAlias, JsonUtils.toJsonString(deptDataPermission));// throw new NullPointerException(String.format("LoginUser(%d) Table(%s/%s) 构建的条件为空",// loginUser.getId(), tableName, tableAlias.getName())); return EXPRESSION_NULL; } if (deptExpression == null) { return userExpression; } if (userExpression == null) { return deptExpression; } // 现在,假如有指定部门 + 可查看自己,采用 OR 条件。即,WHERE (dept_id IN ? OR user_id = ?) return new ParenthesedExpressionList(new OrExpression(deptExpression, userExpression)); } private Expression buildDeptExpression(String tableName, Alias tableAlias, Set deptIds) { // 假如不存在配置,则无需作为条件 String columnName = deptColumns.get(tableName); if (StrUtil.isEmpty(columnName)) { return null; } // 假如为空,则无条件 if (CollUtil.isEmpty(deptIds)) { return null; } // 拼接条件 return new InExpression(MyBatisUtils.buildColumn(tableName, tableAlias, columnName), // Parenthesis 的目的,是提供 (1,2,3) 的 () 左右括号 new ParenthesedExpressionList(new ExpressionList(CollectionUtils.convertList(deptIds, LongValue::new)))); } private Expression buildUserExpression(String tableName, Alias tableAlias, Boolean self, Long userId) { // 假如不查看自己,则无需作为条件 if (Boolean.FALSE.equals(self)) { return null; } String columnName = userColumns.get(tableName); if (StrUtil.isEmpty(columnName)) { return null; } // 拼接条件 return new EqualsTo(MyBatisUtils.buildColumn(tableName, tableAlias, columnName), new LongValue(userId)); } // ==================== 添加配置 ==================== public void addDeptColumn(Class |
