一、 引言
- 业务场景
在一个类似数据统计的系统中,由于统计的数据较多,就有较多的表,每个表有较多的字段,但是又不想让每个用户都看到全部的表或者表的全部字段,比如一些重要的统计数据,应该是只有管理员才能看到的。
-
举个例子(无实际意义)
ID name day_amount week_amount month_amount 1 脑点子 1,000 7,000 30,000 A用户只能看到name,day_amount 两个字段;B用户只能看到name,month_amount两个字段。
二、 方案
-
方案一
- 用户表、用户-表名-字段映射表
优点:实现简单
缺点:每个用户,每个表,每个字段都需单独设置,较为繁琐
- 用户表、用户-表名-字段映射表
-
方案二
- 用户表、角色表、用户-角色映射表、角色-表名-字段映射表(优先级低)、用户-表名-字段映射表(优先级高)
优点:可通过角色实现批量设置权限;且也可对某个用户权限进行单独设置
缺点:权限局限于数据库单个表。
- 用户表、角色表、用户-角色映射表、角色-表名-字段映射表(优先级低)、用户-表名-字段映射表(优先级高)
-
方案三
- 用户表、角色表、用户-角色映射表、数据类型表、类型-表名-字段映射表(优先级低)、角色-类型映射表、用户-表名-字段映射表(优先级高)
优点:在方案二的基础上,可实现跨表的权限控制。
缺点:实现较为繁琐,要不要采用主要还是根据用户的需求
- 用户表、角色表、用户-角色映射表、数据类型表、类型-表名-字段映射表(优先级低)、角色-类型映射表、用户-表名-字段映射表(优先级高)
-
对外权限分配接口
- 三种都按照表名作为一级节点,字段作为二级节点来分配权限。
- 方案一只能按照单个用户来分配权限
- 方案二按照角色/单个用户来分配
- 方案三按照类型/单个用户来分配
-
存在的问题
- 1)数据库结构变更时,与该表相关的所有权限都需要重新设置
- 2)部分不在数据库的字段,如根据多列的值计算出来的属性字段的权限不好处理。
- 3)只支持单张表的查询,不支持多表查询
- 部分解决思路
- 问题2)的暂时的解决思路是:再单独建一张表——用户/角色/类型-JAVA类名-属性名映射表,再配合JSON序列化的属性过滤来实现权限控制。这种方式基本跟完全写死没什么区别,对后期的维护及扩展极不友好!
- 问题3)的解决思路是:放弃掉SQL语句的连接查询,全部改成由代码控制
三、 代码
最初是打算在Spring Aop的前置通知中通过修改目标方法参数来实现,但是通过源码发现封装目标方法参数的类是用final修饰的,所以后面换了种思路。
使用Spring的AbstractAutoProxyCreator自动代理实现,思路是通过条件判断决定是否要使用自动代理,要使用代理的话,就需要自己实现MethodInterceptor接口并重写其中invoke方法。
下面我贴出核心代码,文章最后会给出整个demo的链接
继承AbstractAutoProxyCreator类,重写getAdvicesAndAdvisorsForBean()方法
public class BeanTypeAutoProxyCreator extends AbstractAutoProxyCreator {
@Override
protected Object[] getAdvicesAndAdvisorsForBean(Class<?> beanClass,
String beanName, TargetSource customTargetSource) throws BeansException {
return isMatch(beanClass) ? PROXY_WITHOUT_ADDITIONAL_INTERCEPTORS : DO_NOT_PROXY;
}
/**
* 判断是否是需要被代理的对象
* @param clazz 代理对象的类型
* @return
*/
private boolean isMatch(Class<?> clazz) {
//有两个Class类型的类象,一个是调用isAssignableFrom方法的类对象(后称对象a),
// 以及方法中作为参数的这个类对象(称之为对象b),这两个对象如果满足以下条件则返回true,否则返回false:
//a对象所对应类信息是b对象所对应的类信息的父类或者是父接口,简单理解即a是b的父类或接口
//a对象所对应类信息与b对象所对应的类信息相同,简单理解即a和b为同一个类或同一个接口
if (BaseMapper.class.isAssignableFrom(clazz)) {
return true;
}
return false;
}
}
实现MethodInterceptor接口,重写invoke()方法
public class MyMethodInterceptor implements MethodInterceptor {
@Autowired
private SysAccess sysAccess;
@Override
public Object invoke(MethodInvocation invocation) throws Throwable {
// 权限封装类
SysAccessCriteria result = null;
int flag = -1;
// 目标方法的参数
Object[] args = invocation.getArguments();
for (int i=0; i<args.length; i++) {
// 只修改权限条件类型的参数
if(args[i] instanceof SysAccessCriteria){
SysAccessCriteria sysAccessCriteria = (SysAccessCriteria) args[i];
result = sysAccess.getUserAceess(sysAccessCriteria);
flag = i;
}
}
// 修改目标参数
if(flag >= 0 && result != null){
args[flag] = result;
}
// 执行目标方法
Object object = invocation.proceed();
return object;
}
}
配置到Spring配置文件中
<bean id="myMethodInterceptor" class="com.ysl.access.proxy.MyMethodInterceptor"></bean>
<!--配置自动代理-->
<bean id="myBeanTypeAutoProxyCreator" class="com.ysl.access.proxy.BeanTypeAutoProxyCreator">
<!--父类属性-->
<property name="interceptorNames">
<list>
<value>myMethodInterceptor</value>
</list>
</property>
</bean>
Demo完整代码(数据库文件在resources目录下):https://github.com/andus-top/columns-accsss
单纯个人设计,应该有很多不足,有不好的地方可以指出,或者有更好的想法可以评论,一起交流。
参考:
https://blog.csdn.net/lilongjiu/article/details/78047051
