JeecgBoot数据权限机制深度解析与优化实践

2025-05-02 23:59:19作者：董灵辛Dennis

AI 低代码平台，「低代码 + 零代码」双模式驱动：低代码一键生成前后端代码，零代码 5 分钟搭建系统，AI Skills 一句话画流程、设计表单、生成整套系统。内置 AI聊天、知识库、流程编排、MCP插件等，兼容主流大模型。引领「AI 生成 → 在线配置 → 代码生成 → 手工合并->AI修改」开发模式，消除 Java 项目 80% 的重复工作，提效而不失灵活。

项目地址：https://gitcode.com/GitHub_Trending/je/jeecg-boot

数据权限机制概述

JeecgBoot作为一款优秀的企业级开发框架，其数据权限机制是系统安全性的重要保障。数据权限的核心作用是控制不同用户能够访问的数据范围，确保每个用户只能看到自己权限范围内的数据。在业务系统中，这通常表现为部门隔离、数据隔离等场景。

原数据权限实现分析

框架原有的数据权限实现采用了一种较为简单的逻辑处理方式：

多角色处理：当用户拥有多个角色时，系统会将这些角色的数据权限条件用AND逻辑连接
条件拼接：所有数据权限条件与用户查询条件同样采用AND连接

这种实现方式存在一个明显的缺陷：当用户拥有多个角色时，最终的数据权限范围实际上是各个角色权限的交集，这会导致用户只能看到权限最小的角色所允许的数据，而非理论上应该看到的各角色权限的并集。

问题场景还原

假设一个用户同时拥有以下两个角色：

角色A：可以查看部门ID为100的数据
角色B：可以查看创建人为当前用户的数据

按照原有实现，查询条件会变成：

(部门ID = 100) AND (创建人 = 当前用户)

而实际上更合理的逻辑应该是：

(部门ID = 100) OR (创建人 = 当前用户)

优化方案设计

针对上述问题，我们设计了以下优化方案：

分层处理：将数据权限条件与用户查询条件分离处理
逻辑分组：
- 同一角色的多个数据权限条件保持AND连接
- 不同角色的数据权限组之间采用OR连接
条件封装：将整个数据权限条件组用括号包裹，确保逻辑清晰

优化后的SQL条件结构示例：

(用户查询条件1 AND 用户查询条件2) 
AND 
(
    (角色1条件1 AND 角色1条件2) 
    OR 
    (角色2条件1 AND 角色2条件2)
)

技术实现细节

在installMplus方法中，我们进行了以下关键修改：

角色遍历处理：获取用户所有角色，逐个处理每个角色的数据权限
条件构建：
- 为每个角色构建独立的AND条件组
- 使用StringBuilder高效拼接SQL片段
最终整合：将所有角色的条件组用OR连接，并整体用括号包裹
安全处理：确保生成的SQL语句不存在注入风险

核心代码逻辑：

// 遍历用户所有角色
for (String roleId : roleIds) {
    // 获取角色数据权限规则
    List<SysPermissionDataRuleModel> list = commonAPI.queryDataRule(ruleIdList);
    
    // 构建当前角色的AND条件组
    StringBuilder roleCondition = new StringBuilder();
    for (SysPermissionDataRuleModel dataRule : list) {
        // 拼接各个规则条件
        if (roleCondition.length() > 0) {
            roleCondition.append(" AND ");
        }
        // 规则条件处理逻辑...
    }
    
    // 将角色条件组加入总条件
    if (roleCondition.length() > 0) {
        if (roleConditions.length() > 0) {
            roleConditions.append(" OR ");
        }
        roleConditions.append("(").append(roleCondition).append(")");
    }
}

// 最终将数据权限条件加入查询
if (roleConditions.length() > 0) {
    queryWrapper.and(i -> i.apply(roleConditions.toString()));
}