JeecgBoot多角色数据权限的AND与OR逻辑处理方案

在JeecgBoot 3.6.3版本中，当用户拥有多个角色且每个角色配置了不同的数据权限时，系统默认会使用AND逻辑拼接这些数据权限条件。这种处理方式在某些业务场景下可能不符合预期，特别是当用户需要查看多个角色权限的并集数据时。

问题背景分析

在实际业务中，一个用户经常会被分配多个角色。例如：

• 部门主管角色A：可以查看A部门的数据
• 项目组长角色B：可以查看B项目的数据

按照JeecgBoot默认的AND逻辑处理方式，系统会生成类似"WHERE dept_id = 'A' AND project_id = 'B'"的查询条件，这可能导致查询结果为空，因为很少有数据能同时满足两个完全不同的条件。

技术实现原理

JeecgBoot的数据权限控制主要在QueryGenerator类的installMplus方法中实现。该方法会：

1. 获取当前用户的所有角色
2. 收集每个角色对应的数据权限规则
3. 将这些规则转换为SQL条件
4. 默认使用AND逻辑拼接所有条件

解决方案

方案一：修改QueryGenerator源码

可以直接修改QueryGenerator类中的installMplus方法，将queryWrapper()改为queryWrapper.or()。这种修改会使得多个角色的数据权限条件使用OR逻辑拼接，实现权限的并集查询。

// 修改前
queryWrapper.and(permissionWrapper);

// 修改后
queryWrapper.or(permissionWrapper);

方案二：使用Shiro注解控制

对于需要特殊权限控制的接口，可以使用Shiro的@RequiresRoles注解，并指定logical参数为Logical.OR：

@RequiresRoles(value = {"admin", "test"}, logical = Logical.OR)
public void someMethod() {
    // 方法实现
}

这种方式更加灵活，可以针对特定接口进行权限控制，而不影响全局的数据权限处理逻辑。

适用场景分析

• AND逻辑适用场景：当多个角色的数据权限条件需要同时满足时，例如财务角色需要查看"本部门"+"已完成"的订单。
• OR逻辑适用场景：当用户需要查看多个角色权限的并集数据时，例如同时作为两个部门的主管需要查看两个部门的数据。

最佳实践建议

1. 对于大多数业务场景，OR逻辑更符合实际需求，建议作为默认处理方式。
2. 对于特殊业务场景，可以通过自定义注解或配置的方式实现更复杂的权限逻辑组合。
3. 修改核心代码前，建议先评估影响范围，或通过扩展点方式实现，避免直接修改框架代码带来的升级维护问题。
4. 可以考虑实现动态配置，允许管理员根据业务需求选择AND或OR逻辑。

通过合理的数据权限逻辑处理，可以更好地满足企业级应用中复杂的权限控制需求，提升系统的灵活性和用户体验。