在各种系统中,经常会涉及到数据权限的管理。在JeeSite中已经基本给出了一套解决数据权限管理的解决方案。下面来简单的进行说明一下我项目中涉及到的应用。
问题出发
在系统中每个信息录入人员之间的数据要求在显示时是分离的,即A录入的信息B是看不到的,同理B录入的信息A同样也是看不到的,A和B属于同一个部门。但是,A和B的部门负责人可以同时看到A和B录入的信息。在这种情况下,就需要使用到数据权限。
JeeSite对数据权限的支持
要完成数据权限的功能,需要分为两部分,一部分是设置角色中对“数据范围”的控制,另一部分是在需要进行数据权限控制的地方增加相应的代码。
在角色中设置“数据范围”比较简单,直接操作就可以了,如下图。
另外一部分则是要增加控制数据权限的代码,增加的方法在JeeSite的手册《内置组件的应用》中给出了关于数据权限的说明,说明如下:
数据权限
应用场景:某用户访问数据范围:公司及子公司,本公司,部门及子部门,本部门,当前用户,明细设置。
// 生成数据权限过滤条件(dsf为dataScopeFilter的简写,在xml中使用 ${sqlMap.dsf}调用权限SQL)
user.getSqlMap().put("dsf", dataScopeFilter(user.getCurrentUser(), "o", "u"));<!-- 分页查询用户信息 -->
<select id="findList" parameterType="User" resultMap="userResult">
SELECT
<include refid="userColumns"/>
FROM sys_user a
<include refid="userJoins"/>
WHERE a.del_flag = '0'
<!-- 数据范围过滤 -->
${sqlMap.dsf}
</select>/**
* 数据范围过滤
* @param user 当前用户对象,通过“entity.getCurrentUser()”获取
* @param officeAlias 机构表别名,多个用“,”逗号隔开。
* @param userAlias 用户表别名,多个用“,”逗号隔开,传递空,忽略此参数
* @return 标准连接条件对象
*/
String dataScopeFilter (User user, String officeAlias, String userAlias)
上面就是JeeSite手册中介绍的方法,首先要增加“生成数据权限过滤条件”,其次就是要“在xml中使用 ${sqlMap.dsf}调用权限SQL”,就是这样的两部分。至于dataScopeFilter()是JeeSite提供的方法。
JeeSite支持根据数据库表生成代码的功能,生成的代码包含4个Java文件、1个XML文件和2个JSP文件。
比如数据库中的表名是xxx_yyy,那么生成的4个Java文件分别是XxxYyy.java、XxxYyyController.java、XxxYyyService.java和XxxYyyDao.java,生成XML文件名是XxxYyyDao.xml,生成的两个JSP文件分别是XxxYyyForm.jsp和XxxYyyList.jsp。
对于改造权限的重点,在于XxxYyyService.java文件和XxxYyyDao.xml文件中。
实例演示
按照文档在XxxYyyService.java中添加“生成数据权限过滤条件”的代码,代码如下:
public PagefindPage(Pagepage, XxxYyy xxxYyy) {
// 生成数据权限过滤条件(dsf为dataScopeFilter的简写,在xml中使用 ${sqlMap.dsf}调用权限SQL)
xxxYyy.getSqlMap().put("dsf", dataScopeFilter(UserUtils.getUser(), "o", "u"));
return super.findPage(page, xxxYyy);
}
首先使用XxxYyy的对象xxxYyy来调用getSqlMap方法,在手册中使用的是user作为示范的,这里需要替换成自己实际的对象。
在dataScopeFilter()方法中,o和u是数据表的别名,因为要按照用户或部门进行过滤,因此实际的表要进行左连接,左连接时一般会给表起一个别名,左连接的部分代码如下:
LEFT JOIN sys_user u ON u.id = a.create_by
LEFT JOIN sys_office o ON u.office_id = o.id
也就是传入的o和u分别是sys_office表和sys_user表的别名,而u.id=a.create_by是表示sys_user的id和主表的create_by进行关联,而u.office_id和o.id进行关联。
基本到了这里第一步的“生成数据权限过滤条件”就完了,第二步需要在XxxYyy.xml中引用“${sqlMap.dsf}”。
这里的XML文件是MyBatis,只要在查询的where的结尾处引入即可,比如:
</where>
<!-- 数据范围过滤 -->
${sqlMap.dsf}
<choose>
这样就基本可以解决数据权限的问题,并且我用A用户录入一条信息,B用户录入一条信息,A和B用户只能查看自己录入的数据,但是作为A和B的部门负责人C可以同时查看他们录入的数据。
补充
使用dataScopeFilter()的实现在BaseService.java中,该方法存在两个,他们的定义也稍微有所差别,两个定义分别如下:
/**
* 数据范围过滤
* @param user 当前用户对象,通过“entity.getCurrentUser()”获取
* @param officeAlias 机构表别名,多个用“,”逗号隔开。
* @param userAlias 用户表别名,多个用“,”逗号隔开,传递空,忽略此参数
* @return 标准连接条件对象
*/
public static String dataScopeFilter(User user, String officeAlias, String userAlias);/**
* 数据范围过滤(符合业务表字段不同的时候使用,采用exists方法)
* @param entity 当前过滤的实体类
* @param sqlMapKey sqlMap的键值,例如设置“dsf”时,调用方法:${sqlMap.sdf}
* @param officeWheres office表条件,组成:部门表字段=业务表的部门字段
* @param userWheres user表条件,组成:用户表字段=业务表的用户字段
* @example
* dataScopeFilter(user, "dsf", "id=a.office_id", "id=a.create_by");
* dataScopeFilter(entity, "dsf", "code=a.jgdm", "no=a.cjr"); // 适应于业务表关联不同字段时使用,如果关联的不是机构id是code。
*/
public static void dataScopeFilter(BaseEntity entity, String sqlMapKey, String officeWheres, String userWheres);
前面介绍的是调用了它的第一种形式。第一种形式的实现中对应角色设置中“数据范围”的实现如下:
if (Role.DATA_SCOPE_ALL.equals(r.getDataScope())){
}
else if (Role.DATA_SCOPE_COMPANY_AND_CHILD.equals(r.getDataScope())){
}
else if (Role.DATA_SCOPE_COMPANY.equals(r.getDataScope())){
}
else if (Role.DATA_SCOPE_OFFICE_AND_CHILD.equals(r.getDataScope())){
}
else if (Role.DATA_SCOPE_OFFICE.equals(r.getDataScope())){
}
else if (Role.DATA_SCOPE_CUSTOM.equals(r.getDataScope())){
}
//else if (Role.DATA_SCOPE_SELF.equals(r.getDataScope())){
dataScope.add(r.getDataScope());
其中有一些如DATA_SCOPE_ALL等定义,如下所示:
// 数据范围(1:所有数据;2:所在公司及以下数据;3:所在公司数据;4:所在部门及以下数据;5:所在部门数据;8:仅本人数据;9:按明细设置)
public static final String DATA_SCOPE_ALL = "1";
public static final String DATA_SCOPE_COMPANY_AND_CHILD = "2";
public static final String DATA_SCOPE_COMPANY = "3";
public static final String DATA_SCOPE_OFFICE_AND_CHILD = "4";
public static final String DATA_SCOPE_OFFICE = "5";
public static final String DATA_SCOPE_SELF = "8";
public static final String DATA_SCOPE_CUSTOM = "9";
用以上数据对比角色中“数据范围”的部分,如图:
从图中可以看出,在实现的部分通过if/elseif来实现了不同选项的SQL语句的拼接,拼接后的内容被引入到MyBatis中,从而实现了数据权限的管理。
到此,关于JeeSite中数据权限的基本介绍就到这里了。我本身不熟悉Java语言,对于JeeSite的二次开发也是我第一次接触Java语言,写在这里方便下次使用。有不正确的,请指正!
