SOQL-Lib项目中的共享规则深度解析

前言

在Salesforce开发中，数据访问安全是一个极其重要的主题。SOQL-Lib作为一个强大的SOQL查询构建库，提供了灵活的共享规则控制机制。本文将深入探讨如何在SOQL-Lib中管理共享规则，确保数据访问既安全又高效。

理解Salesforce的共享模式

在深入SOQL-Lib之前，我们需要理解Salesforce的三种基本共享模式：

1. 用户模式(USER_MODE)：强制执行字段级安全(FLS)、对象权限和共享规则
2. 系统模式(SYSTEM_MODE)：绕过字段级安全和对象权限，但共享规则取决于类声明
3. 共享关键字：
   • with sharing：强制执行共享规则
   • without sharing：忽略共享规则
   • inherited sharing：继承调用类的共享设置

SOQL-Lib中的默认行为

SOQL-Lib默认使用用户模式(USER_MODE)，这意味着：

• 自动强制执行字段级安全
• 检查对象权限
• 应用所有共享规则
• 忽略类的共享关键字声明（即使类声明为without sharing）

// 默认USER_MODE示例
public inherited sharing class SOQL_Account extends SOQL implements SOQL.Selector {
    public static SOQL_Account query() {
        return new SOQL_Account();
    }

    private SOQL_Account() {
        super(Account.SObjectType);
        with(Account.Name, Account.AccountNumber);
    }
}

切换到系统模式

当需要绕过权限检查时，可以使用.systemMode()方法切换到系统模式：

// 切换到SYSTEM_MODE示例
private SOQL_Account() {
    super(Account.SObjectType);
    with(Account.Name, Account.AccountNumber)
        .systemMode();  // 切换到系统模式
}

在系统模式下，共享规则的行为取决于以下因素：

1. 选择器类的共享关键字（必须声明为inherited sharing）
2. 查询时指定的共享模式

共享模式控制方法

SOQL-Lib提供了三种方法来控制共享规则：

1. 继承共享(inherited sharing)

.systemMode()  // 使用调用类的共享设置

这是最灵活的选项，共享行为由调用查询的类决定。

2. 强制启用共享(with sharing)

.systemMode().withSharing()  // 强制启用共享规则

无论调用类如何声明，都会强制执行共享规则。

3. 强制禁用共享(without sharing)

.systemMode().withoutSharing()  // 强制禁用共享规则

无论调用类如何声明，都会忽略共享规则。

最佳实践建议

1. 优先使用默认的USER_MODE：除非有特殊需求，否则应优先使用默认模式，确保数据安全

2. 谨慎使用SYSTEM_MODE：仅在确实需要绕过权限检查时使用，并确保有适当的访问控制

3. 明确声明选择器类：始终将选择器类声明为inherited sharing

4. 文档记录：对于使用SYSTEM_MODE的查询，应在代码中添加注释说明原因

5. 最小权限原则：即使使用SYSTEM_MODE，也应只查询必要的字段

实际应用示例

场景1：需要绕过共享规则的管理员操作

// 管理员批量操作示例
public without sharing class AdminTools {
    public static void massUpdateAccounts() {
        List<Account> accounts = SOQL_Account.query()
            .systemMode()
            .withoutSharing()
            .toList();
        
        // 执行管理员批量操作
    }
}

场景2：强制实施共享规则的API端点

// 强制实施共享的API示例
public with sharing class AccountAPI {
    public static List<Account> getClientAccounts() {
        return SOQL_Account.query()
            .systemMode()
            .withSharing()
            .toList();
    }
}

总结

SOQL-Lib提供了强大而灵活的共享规则控制机制，使开发者能够根据不同的业务场景选择适当的共享策略。理解这些机制对于构建安全、高效的Salesforce应用至关重要。记住，在大多数情况下，默认的USER_MODE是最安全的选择，只有在充分理解风险的情况下才应使用SYSTEM_MODE和共享控制方法。