工业互联网平台
查看 | 历史 | 提交 | 提交对比
潘志宝
9 天以前 9d5be382e52f9ac57199d5ef75cc23f925a4cdb0
提交 | 用户 | 时间
e7c126 1 package com.iailab.framework.datapermission.core.rule.dept;
H 2
3 import cn.hutool.core.collection.CollUtil;
4 import cn.hutool.core.util.ObjectUtil;
5 import cn.hutool.core.util.StrUtil;
6 import com.iailab.framework.common.enums.UserTypeEnum;
7 import com.iailab.framework.common.util.collection.CollectionUtils;
8 import com.iailab.framework.common.util.json.JsonUtils;
9 import com.iailab.framework.datapermission.core.rule.DataPermissionRule;
10 import com.iailab.framework.mybatis.core.dataobject.BaseDO;
11 import com.iailab.framework.mybatis.core.util.MyBatisUtils;
12 import com.iailab.framework.security.core.LoginUser;
13 import com.iailab.framework.security.core.util.SecurityFrameworkUtils;
14 import com.iailab.module.system.api.permission.PermissionApi;
15 import com.iailab.module.system.api.permission.dto.DeptDataPermissionRespDTO;
16 import com.baomidou.mybatisplus.core.metadata.TableInfoHelper;
17 import lombok.AllArgsConstructor;
18 import lombok.extern.slf4j.Slf4j;
19 import net.sf.jsqlparser.expression.*;
20 import net.sf.jsqlparser.expression.operators.conditional.OrExpression;
21 import net.sf.jsqlparser.expression.operators.relational.EqualsTo;
22 import net.sf.jsqlparser.expression.operators.relational.ExpressionList;
23 import net.sf.jsqlparser.expression.operators.relational.InExpression;
bb2880 24 import net.sf.jsqlparser.expression.operators.relational.ParenthesedExpressionList;
e7c126 25
H 26 import java.util.HashMap;
27 import java.util.HashSet;
28 import java.util.Map;
29 import java.util.Set;
30
31 /**
32  * 基于部门的 {@link DataPermissionRule} 数据权限规则实现
33  *
34  * 注意,使用 DeptDataPermissionRule 时,需要保证表中有 dept_id 部门编号的字段,可自定义。
35  *
36  * 实际业务场景下,会存在一个经典的问题?当用户修改部门时,冗余的 dept_id 是否需要修改?
37  * 1. 一般情况下,dept_id 不进行修改,则会导致用户看不到之前的数据。【iailab-server 采用该方案】
38  * 2. 部分情况下,希望该用户还是能看到之前的数据,则有两种方式解决:【需要你改造该 DeptDataPermissionRule 的实现代码】
39  *  1)编写洗数据的脚本,将 dept_id 修改成新部门的编号;【建议】
40  *      最终过滤条件是 WHERE dept_id = ?
41  *  2)洗数据的话,可能涉及的数据量较大,也可以采用 user_id 进行过滤的方式,此时需要获取到 dept_id 对应的所有 user_id 用户编号;
42  *      最终过滤条件是 WHERE user_id IN (?, ?, ? ...)
43  *  3)想要保证原 dept_id 和 user_id 都可以看的到,此时使用 dept_id 和 user_id 一起过滤;
44  *      最终过滤条件是 WHERE dept_id = ? OR user_id IN (?, ?, ? ...)
45  *
46  * @author iailab
47  */
48 @AllArgsConstructor
49 @Slf4j
50 public class DeptDataPermissionRule implements DataPermissionRule {
51
52     /**
53      * LoginUser 的 Context 缓存 Key
54      */
55     protected static final String CONTEXT_KEY = DeptDataPermissionRule.class.getSimpleName();
56
57     private static final String DEPT_COLUMN_NAME = "dept_id";
58     private static final String USER_COLUMN_NAME = "user_id";
59
60     static final Expression EXPRESSION_NULL = new NullValue();
61
62     private final PermissionApi permissionApi;
63
64     /**
65      * 基于部门的表字段配置
66      * 一般情况下,每个表的部门编号字段是 dept_id,通过该配置自定义。
67      *
68      * key:表名
69      * value:字段名
70      */
71     private final Map<String, String> deptColumns = new HashMap<>();
72     /**
73      * 基于用户的表字段配置
74      * 一般情况下,每个表的部门编号字段是 dept_id,通过该配置自定义。
75      *
76      * key:表名
77      * value:字段名
78      */
79     private final Map<String, String> userColumns = new HashMap<>();
80     /**
81      * 所有表名,是 {@link #deptColumns} 和 {@link #userColumns} 的合集
82      */
83     private final Set<String> TABLE_NAMES = new HashSet<>();
84
85     @Override
86     public Set<String> getTableNames() {
87         return TABLE_NAMES;
88     }
89
90     @Override
91     public Expression getExpression(String tableName, Alias tableAlias) {
92         // 只有有登陆用户的情况下,才进行数据权限的处理
93         LoginUser loginUser = SecurityFrameworkUtils.getLoginUser();
94         if (loginUser == null) {
95             return null;
96         }
97         // 只有管理员类型的用户,才进行数据权限的处理
98         if (ObjectUtil.notEqual(loginUser.getUserType(), UserTypeEnum.ADMIN.getValue())) {
99             return null;
100         }
101
102         // 获得数据权限
103         DeptDataPermissionRespDTO deptDataPermission = loginUser.getContext(CONTEXT_KEY, DeptDataPermissionRespDTO.class);
104         // 从上下文中拿不到,则调用逻辑进行获取
105         if (deptDataPermission == null) {
106             deptDataPermission = permissionApi.getDeptDataPermission(loginUser.getId()).getCheckedData();
107             if (deptDataPermission == null) {
108                 log.error("[getExpression][LoginUser({}) 获取数据权限为 null]", JsonUtils.toJsonString(loginUser));
109                 throw new NullPointerException(String.format("LoginUser(%d) Table(%s/%s) 未返回数据权限",
110                         loginUser.getId(), tableName, tableAlias.getName()));
111             }
112             // 添加到上下文中,避免重复计算
113             loginUser.setContext(CONTEXT_KEY, deptDataPermission);
114         }
115
116         // 情况一,如果是 ALL 可查看全部,则无需拼接条件
117         if (deptDataPermission.getAll()) {
118             return null;
119         }
120
121         // 情况二,即不能查看部门,又不能查看自己,则说明 100% 无权限
122         if (CollUtil.isEmpty(deptDataPermission.getDeptIds())
bb2880 123                 && Boolean.FALSE.equals(deptDataPermission.getSelf())) {
e7c126 124             return new EqualsTo(null, null); // WHERE null = null,可以保证返回的数据为空
H 125         }
126
127         // 情况三,拼接 Dept 和 User 的条件,最后组合
128         Expression deptExpression = buildDeptExpression(tableName,tableAlias, deptDataPermission.getDeptIds());
129         Expression userExpression = buildUserExpression(tableName, tableAlias, deptDataPermission.getSelf(), loginUser.getId());
130         if (deptExpression == null && userExpression == null) {
131             // TODO iailab:获得不到条件的时候,暂时不抛出异常,而是不返回数据
132             log.warn("[getExpression][LoginUser({}) Table({}/{}) DeptDataPermission({}) 构建的条件为空]",
133                     JsonUtils.toJsonString(loginUser), tableName, tableAlias, JsonUtils.toJsonString(deptDataPermission));
134 //            throw new NullPointerException(String.format("LoginUser(%d) Table(%s/%s) 构建的条件为空",
135 //                    loginUser.getId(), tableName, tableAlias.getName()));
136             return EXPRESSION_NULL;
137         }
138         if (deptExpression == null) {
139             return userExpression;
140         }
141         if (userExpression == null) {
142             return deptExpression;
143         }
144         // 目前,如果有指定部门 + 可查看自己,采用 OR 条件。即,WHERE (dept_id IN ? OR user_id = ?)
bb2880 145         return new ParenthesedExpressionList(new OrExpression(deptExpression, userExpression));
e7c126 146     }
H 147
148     private Expression buildDeptExpression(String tableName, Alias tableAlias, Set<Long> deptIds) {
149         // 如果不存在配置,则无需作为条件
150         String columnName = deptColumns.get(tableName);
151         if (StrUtil.isEmpty(columnName)) {
152             return null;
153         }
154         // 如果为空,则无条件
155         if (CollUtil.isEmpty(deptIds)) {
156             return null;
157         }
158         // 拼接条件
159         return new InExpression(MyBatisUtils.buildColumn(tableName, tableAlias, columnName),
bb2880 160                 // Parenthesis 的目的,是提供 (1,2,3) 的 () 左右括号
H 161                 new ParenthesedExpressionList(new ExpressionList<LongValue>(CollectionUtils.convertList(deptIds, LongValue::new))));
e7c126 162     }
H 163
164     private Expression buildUserExpression(String tableName, Alias tableAlias, Boolean self, Long userId) {
165         // 如果不查看自己,则无需作为条件
166         if (Boolean.FALSE.equals(self)) {
167             return null;
168         }
169         String columnName = userColumns.get(tableName);
170         if (StrUtil.isEmpty(columnName)) {
171             return null;
172         }
173         // 拼接条件
174         return new EqualsTo(MyBatisUtils.buildColumn(tableName, tableAlias, columnName), new LongValue(userId));
175     }
176
177     // ==================== 添加配置 ====================
178
179     public void addDeptColumn(Class<? extends BaseDO> entityClass) {
180         addDeptColumn(entityClass, DEPT_COLUMN_NAME);
181     }
182
183     public void addDeptColumn(Class<? extends BaseDO> entityClass, String columnName) {
184         String tableName = TableInfoHelper.getTableInfo(entityClass).getTableName();
bb2880 185         addDeptColumn(tableName, columnName);
e7c126 186     }
H 187
188     public void addDeptColumn(String tableName, String columnName) {
189         deptColumns.put(tableName, columnName);
190         TABLE_NAMES.add(tableName);
191     }
192
193     public void addUserColumn(Class<? extends BaseDO> entityClass) {
194         addUserColumn(entityClass, USER_COLUMN_NAME);
195     }
196
197     public void addUserColumn(Class<? extends BaseDO> entityClass, String columnName) {
198         String tableName = TableInfoHelper.getTableInfo(entityClass).getTableName();
199         addUserColumn(tableName, columnName);
200     }
201
202     public void addUserColumn(String tableName, String columnName) {
203         userColumns.put(tableName, columnName);
204         TABLE_NAMES.add(tableName);
205     }
206
207 }