JeecgBoot数据权限机制深度解析与优化实践

2025-05-02 09:46:32作者：董灵辛Dennis

数据权限机制概述

JeecgBoot作为一款优秀的企业级开发框架，其数据权限机制是系统安全性的重要保障。数据权限的核心作用是控制不同用户能够访问的数据范围，确保每个用户只能看到自己权限范围内的数据。在业务系统中，这通常表现为部门隔离、数据隔离等场景。

原数据权限实现分析

框架原有的数据权限实现采用了一种较为简单的逻辑处理方式：

多角色处理：当用户拥有多个角色时，系统会将这些角色的数据权限条件用AND逻辑连接
条件拼接：所有数据权限条件与用户查询条件同样采用AND连接

这种实现方式存在一个明显的缺陷：当用户拥有多个角色时，最终的数据权限范围实际上是各个角色权限的交集，这会导致用户只能看到权限最小的角色所允许的数据，而非理论上应该看到的各角色权限的并集。

问题场景还原

假设一个用户同时拥有以下两个角色：

角色A：可以查看部门ID为100的数据
角色B：可以查看创建人为当前用户的数据

按照原有实现，查询条件会变成：

(部门ID = 100) AND (创建人 = 当前用户)

而实际上更合理的逻辑应该是：

(部门ID = 100) OR (创建人 = 当前用户)

优化方案设计

针对上述问题，我们设计了以下优化方案：

分层处理：将数据权限条件与用户查询条件分离处理
逻辑分组：
- 同一角色的多个数据权限条件保持AND连接
- 不同角色的数据权限组之间采用OR连接
条件封装：将整个数据权限条件组用括号包裹，确保逻辑清晰

优化后的SQL条件结构示例：

(用户查询条件1 AND 用户查询条件2) 
AND 
(
    (角色1条件1 AND 角色1条件2) 
    OR 
    (角色2条件1 AND 角色2条件2)
)

技术实现细节

在installMplus方法中，我们进行了以下关键修改：

角色遍历处理：获取用户所有角色，逐个处理每个角色的数据权限
条件构建：
- 为每个角色构建独立的AND条件组
- 使用StringBuilder高效拼接SQL片段
最终整合：将所有角色的条件组用OR连接，并整体用括号包裹
安全处理：确保生成的SQL语句不存在注入风险

核心代码逻辑：

// 遍历用户所有角色
for (String roleId : roleIds) {
    // 获取角色数据权限规则
    List<SysPermissionDataRuleModel> list = commonAPI.queryDataRule(ruleIdList);
    
    // 构建当前角色的AND条件组
    StringBuilder roleCondition = new StringBuilder();
    for (SysPermissionDataRuleModel dataRule : list) {
        // 拼接各个规则条件
        if (roleCondition.length() > 0) {
            roleCondition.append(" AND ");
        }
        // 规则条件处理逻辑...
    }
    
    // 将角色条件组加入总条件
    if (roleCondition.length() > 0) {
        if (roleConditions.length() > 0) {
            roleConditions.append(" OR ");
        }
        roleConditions.append("(").append(roleCondition).append(")");
    }
}

// 最终将数据权限条件加入查询
if (roleConditions.length() > 0) {
    queryWrapper.and(i -> i.apply(roleConditions.toString()));
}