中午吃飯時看了一下陸毅版的《三國》,剛好看的是蜀軍缺糧,諸葛亮讓王平去劫司馬懿的糧。司馬懿看蜀軍用木牛流馬運量很方便,就搶了蜀軍的木牛流馬仿製了一批,結果司馬懿用它運糧時,被王平冒充司馬懿的人在驗糧時,對木牛流馬動了手腳,結果木牛流馬不能動彈了,被蜀軍把幾十萬擔的糧食搶走了。看到這裡的時候,我想到了 ...
中午吃飯時看了一下陸毅版的《三國》,剛好看的是蜀軍缺糧,諸葛亮讓王平去劫司馬懿的糧。司馬懿看蜀軍用木牛流馬運量很方便,就搶了蜀軍的木牛流馬仿製了一批,結果司馬懿用它運糧時,被王平冒充司馬懿的人在驗糧時,對木牛流馬動了手腳,結果木牛流馬不能動彈了,被蜀軍把幾十萬擔的糧食搶走了。看到這裡的時候,我想到了我們的項目。網上有個開源項目,在不熟悉的情況下把源碼下載下來部署了就敢用?膽子是不是有點大?真遇到類似“木牛流馬”的問題,那真的就虧大了啊。難道要聯繫作者?
呵呵~!!言歸正傳……
在各種系統中,經常會涉及到數據許可權的管理。在 JeeSite 開源系統中已經基本給出了一套解決數據許可權管理的解決方案。下麵來簡單的進行說明一下我項目中涉及到的應用。
問題出發
在系統中每個信息錄入人員之間的數據要求在顯示時是分離的,即人員 A 錄入的信息人員 B 是看不到的,同理人員 B 錄入的信息人員 A 同樣也是看不到的,人員 A 和人員 B 屬於同一個部門。但是,人員 A 和人員 B 的部門負責人可以同時看到人員 A 和人員 B 錄入的信息。在這種情況下,就需要使用到數據許可權。
JeeSite 對數據許可權的支持
要完成數據許可權的功能,需要分為兩部分,一部分是設置角色中對“數據範圍”的控制,另一部分是在需要進行數據許可權控制的地方增加相應的代碼。
在角色中設置“數據範圍”比較簡單,直接操作就可以了,如下圖。
另外一部分則是要增加控制數據許可權的代碼,增加的方法在 JeeSite 的手冊《內置組件的應用》中給出了關於數據許可權的說明,說明如下:
數據許可權
應用場景:某用戶訪問數據範圍:公司及子公司,本公司,部門及子部門,本部門,當前用戶,明細設置。
// 生成數據許可權過濾條件(dsf為dataScopeFilter的簡寫,在xml中使用 ${sqlMap.dsf}調用許可權SQL)
user.getSqlMap().put("dsf", dataScopeFilter(user.getCurrentUser(), "o", "u"));<!-- 分頁查詢用戶信息 -->
<select id="findList" parameterType="User" resultMap="userResult">
SELECT
<include refid="userColumns"/>
FROM sys_user a
<include refid="userJoins"/>
WHERE a.del_flag = '0'
<!-- 數據範圍過濾 -->
${sqlMap.dsf}
</select>/**
* 數據範圍過濾
* @param user 當前用戶對象,通過“entity.getCurrentUser()”獲取
* @param officeAlias 機構表別名,多個用“,”逗號隔開。
* @param userAlias 用戶表別名,多個用“,”逗號隔開,傳遞空,忽略此參數
* @return 標準連接條件對象
*/
String dataScopeFilter (User user, String officeAlias, String userAlias)
上面就是 JeeSite 手冊中介紹的方法,首先要增加“生成數據許可權過濾條件”,其次就是要“在 xml 中使用 ${sqlMap.dsf} 調用許可權 SQL ”,就是這樣的兩部分。至於 dataScopeFilter() 是 JeeSite 提供的方法。
JeeSite 支持根據資料庫表生成代碼的功能,生成的代碼包含 4 個 Java 文件、1 個 XML 文件和 2 個 JSP 文件。
比如資料庫中的表名是 xxx_yyy ,那麼生成的 4 個 Java 文件分別是 XxxYyy.java、XxxYyyController.java、XxxYyyService.java 和 XxxYyyDao.java,生成 XML 文件名是 XxxYyyDao.xml,生成的兩個 JSP 文件分別是 XxxYyyForm.jsp 和 XxxYyyList.jsp。
對於改造許可權的重點,在於 XxxYyyService.java 文件和 XxxYyyDao.xml 文件中。
實例演示
按照文檔在 XxxYyyService.java 中添加“生成數據許可權過濾條件”的代碼,代碼如下:
1 public PagefindPage(Pagepage, XxxYyy xxxYyy) { 2 // 生成數據許可權過濾條件(dsf為dataScopeFilter的簡寫,在xml中使用 ${sqlMap.dsf}調用許可權SQL) 3 xxxYyy.getSqlMap().put("dsf", dataScopeFilter(UserUtils.getUser(), "o", "u")); 4 return super.findPage(page, xxxYyy); 5 }
首先使用 XxxYyy 的對象 xxxYyy 來調用 getSqlMap 方法,在手冊中使用的是 user 作為示範的,這裡需要替換成自己實際的對象。
在 dataScopeFilter() 方法中, o 和 u 是數據表的別名,因為要按照用戶或部門進行過濾,因此實際的表要進行左連接,左連接時一般會給表起一個別名,左連接的部分代碼如下:
1 LEFT JOIN sys_user u ON u.id = a.create_by 2 LEFT JOIN sys_office o ON u.office_id = o.id
也就是傳入的 o 和 u 分別是 sys_office 表和 sys_user 表的別名,而 u.id=a.create_by 是表示 sys_user 的 id 和主表的 create_by 進行關聯,而 u.office_id 和 o.id 進行關聯。
基本到了這裡第一步的“生成數據許可權過濾條件”就完了,第二步需要在 XxxYyy.xml 中引用“ ${sqlMap.dsf} ”。
這裡的 XML 文件是 MyBatis,只要在查詢的 where 的結尾處引入即可,比如:
1 </where> 2 <!-- 數據範圍過濾 --> 3 ${sqlMap.dsf} 4 <choose>
這樣就基本可以解決數據許可權的問題,並且我用 A 用戶錄入一條信息,B 用戶錄入一條信息,A 和 B 用戶只能查看自己錄入的數據,但是作為 A 和 B 的部門負責人 C 可以同時查看他們錄入的數據。
補充
使用 dataScopeFilter() 的實現在 BaseService.java 中,該方法存在兩個,他們的定義也稍微有所差別,兩個定義分別如下:
1 /** 2 * 數據範圍過濾 3 * @param user 當前用戶對象,通過“entity.getCurrentUser()”獲取 4 * @param officeAlias 機構表別名,多個用“,”逗號隔開。 5 * @param userAlias 用戶表別名,多個用“,”逗號隔開,傳遞空,忽略此參數 6 * @return 標準連接條件對象 7 */ 8 public static String dataScopeFilter(User user, String officeAlias, String userAlias); 9 10 /** 11 * 數據範圍過濾(符合業務表欄位不同的時候使用,採用exists方法) 12 * @param entity 當前過濾的實體類 13 * @param sqlMapKey sqlMap的鍵值,例如設置“dsf”時,調用方法:${sqlMap.sdf} 14 * @param officeWheres office表條件,組成:部門表欄位=業務表的部門欄位 15 * @param userWheres user表條件,組成:用戶表欄位=業務表的用戶欄位 16 * @example 17 * dataScopeFilter(user, "dsf", "id=a.office_id", "id=a.create_by"); 18 * dataScopeFilter(entity, "dsf", "code=a.jgdm", "no=a.cjr"); // 適應於業務表關聯不同欄位時使用,如果關聯的不是機構id是code。 19 */ 20 public static void dataScopeFilter(BaseEntity entity, String sqlMapKey, String officeWheres, String userWheres);
前面介紹的是調用了它的第一種形式。第一種形式的實現中對應角色設置中“數據範圍”的實現如下:
1 if (Role.DATA_SCOPE_ALL.equals(r.getDataScope())){ 2 } 3 else if (Role.DATA_SCOPE_COMPANY_AND_CHILD.equals(r.getDataScope())){ 4 } 5 else if (Role.DATA_SCOPE_COMPANY.equals(r.getDataScope())){ 6 } 7 else if (Role.DATA_SCOPE_OFFICE_AND_CHILD.equals(r.getDataScope())){ 8 } 9 else if (Role.DATA_SCOPE_OFFICE.equals(r.getDataScope())){ 10 } 11 else if (Role.DATA_SCOPE_CUSTOM.equals(r.getDataScope())){ 12 } 13 //else if (Role.DATA_SCOPE_SELF.equals(r.getDataScope())){ 14 dataScope.add(r.getDataScope());
其中有一些如 DATA_SCOPE_ALL 等定義,如下所示:
1 // 數據範圍(1:所有數據;2:所在公司及以下數據;3:所在公司數據;4:所在部門及以下數據;5:所在部門數據;8:僅本人數據;9:按明細設置) 2 public static final String DATA_SCOPE_ALL = "1"; 3 public static final String DATA_SCOPE_COMPANY_AND_CHILD = "2"; 4 public static final String DATA_SCOPE_COMPANY = "3"; 5 public static final String DATA_SCOPE_OFFICE_AND_CHILD = "4"; 6 public static final String DATA_SCOPE_OFFICE = "5"; 7 public static final String DATA_SCOPE_SELF = "8"; 8 public static final String DATA_SCOPE_CUSTOM = "9";
用以上數據對比角色中“數據範圍”的部分,如圖:
從圖中可以看出,在實現的部分通過 if / elseif 來實現了不同選項的 SQL 語句的拼接,拼接後的內容被引入到 MyBatis 中,從而實現了數據許可權的管理。
到此,關於 JeeSite 中數據許可權的基本介紹就到這裡了。我本身不熟悉 Java 語言,對於 JeeSite 的二次開發也是我第一次接觸 Java 語言,寫在這裡方便下次使用。有不正確的,請指正!
