阅读 57 SEO

数据权限控制

1. 数据权限是什么?

在讲数据权限之前,要先说一下功能权限;功能权限一般的管理后台系统都会涉及到;即:某个人拥有什么角色,可以对哪些资源进行操作;
数据权限和功能权限一样,也是一种对资源的保护;数据权限又可以分为“横向权限”和“纵向权限”

横向权限:即对数据行级别的限制

例如:角色A可以查看全部数据;角色B只能查看50条数据;

纵向权限:即数据列级别的限制

例如:角色C可以查看所有列,角色D只能查看3列数据

2. 数据权限如何设计?

个人理解:
既然数据权限和功能权限一样,那么权限表(permission)里就可以创建一条数据,类型定义为“数据权限”,至于数据规则的具体逻辑可以单独用一个表(data_rule)存储,然后data_rule 表里面引入permission表 Id字段
具体执行逻辑:

  1. 用户访问一个资源
  2. 判断该用户是否有权限访问该资源(即:功能权限)
  3. 如果可以访问,判断该接口是否启用了数据权限规则
  4. 如果启用数据规则,获取该用户拥有的角色,通过角色获取数据规则权限
  5. 通过数据规则,动态修改查询SQL
  6. 执行SQL,返回结果;
    以上逻辑是否觉得有哪块不对?
    在第四步的时候,通过角色获取数据规则,数据规则可能有多个,那应该怎么处理?
    例如:
    1)一个用户是销售经理, 他可以看他以及他下属的销售业绩; 对应一条数据权限1
    2)查看客户信息时,他能查看他下属的客户信息; 对应一条数据权限2
    当用户访问销售业绩的时候,如果按照之前的理论,应该会得到两条数据权限;但是这并不是我们想要的,我们只想得到数据权限1就可以。所以数据权限应该是与接口对应的,即:数据权限作用在哪个具体的接口上,这样当我们获取到2条数据权限时,通过接口URL进行过滤,就可以找到只属于这个接口的数据权限了;

3. 开源框架jeecg-boot 是如何做的?

下图是jeecgboot 表设计的大致:


图片.png

jeecg-boot框架里面的具体逻辑:

  1. 在使用数据权限的接口上用自定义注解@PermissionData标识
  2. 编写一个切面类PermissionDataAspect,拦截@PermissionData标识的接口
  3. 当用户访问一个带有注解PermissionData的接口,首先会进入PermissionDataAspect类,该类的主要作用就是通过接口URL获取作用在这条接口上的数据权限,然后把数据权限(即:数据规则)保存到上下文中。
  4. 当进入到真正的接口中时,获取数据规则,通过数据规则动态生成Sql语句。
  5. 执行sql 并返回结果

作者:骑着红驴逛青楼

原文链接:https://www.jianshu.com/p/4fa0792abcdc

文章分类
后端
文章标签
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 gxwowoo@163.com 举报,一经查实,本站将立刻删除。
相关推荐