首页
/ JeecgBoot数据权限机制深度解析与优化实践

JeecgBoot数据权限机制深度解析与优化实践

2025-05-02 23:59:19作者:董灵辛Dennis
jeecg-boot
AI 低代码平台「低代码 + 零代码」双驱动!低代码可一键生成前后端代码;零代码可 5 分钟搭建系统;AI Skills 一句话画流程、设计表单、生成整套系统。内置 AI聊天、知识库、流程编排、MCP插件等,兼容主流大模型。引领「AI 生成 → 在线配置 → 代码生成 → 手工合并->AI修改」开发模式,消除 Java 项目 80% 的重复工作,提效而不失灵活。
项目地址:https://gitcode.com/GitHub_Trending/je/jeecg-boot

数据权限机制概述

JeecgBoot作为一款优秀的企业级开发框架,其数据权限机制是系统安全性的重要保障。数据权限的核心作用是控制不同用户能够访问的数据范围,确保每个用户只能看到自己权限范围内的数据。在业务系统中,这通常表现为部门隔离、数据隔离等场景。

原数据权限实现分析

框架原有的数据权限实现采用了一种较为简单的逻辑处理方式:

  1. 多角色处理:当用户拥有多个角色时,系统会将这些角色的数据权限条件用AND逻辑连接
  2. 条件拼接:所有数据权限条件与用户查询条件同样采用AND连接

这种实现方式存在一个明显的缺陷:当用户拥有多个角色时,最终的数据权限范围实际上是各个角色权限的交集,这会导致用户只能看到权限最小的角色所允许的数据,而非理论上应该看到的各角色权限的并集。

问题场景还原

假设一个用户同时拥有以下两个角色:

  • 角色A:可以查看部门ID为100的数据
  • 角色B:可以查看创建人为当前用户的数据

按照原有实现,查询条件会变成:

(部门ID = 100) AND (创建人 = 当前用户)

而实际上更合理的逻辑应该是:

(部门ID = 100) OR (创建人 = 当前用户)

优化方案设计

针对上述问题,我们设计了以下优化方案:

  1. 分层处理:将数据权限条件与用户查询条件分离处理
  2. 逻辑分组
    • 同一角色的多个数据权限条件保持AND连接
    • 不同角色的数据权限组之间采用OR连接
  3. 条件封装:将整个数据权限条件组用括号包裹,确保逻辑清晰

优化后的SQL条件结构示例:

(用户查询条件1 AND 用户查询条件2) 
AND 
(
    (角色1条件1 AND 角色1条件2) 
    OR 
    (角色2条件1 AND 角色2条件2)
)

技术实现细节

installMplus方法中,我们进行了以下关键修改:

  1. 角色遍历处理:获取用户所有角色,逐个处理每个角色的数据权限
  2. 条件构建
    • 为每个角色构建独立的AND条件组
    • 使用StringBuilder高效拼接SQL片段
  3. 最终整合:将所有角色的条件组用OR连接,并整体用括号包裹
  4. 安全处理:确保生成的SQL语句不存在注入风险

核心代码逻辑:

// 遍历用户所有角色
for (String roleId : roleIds) {
    // 获取角色数据权限规则
    List<SysPermissionDataRuleModel> list = commonAPI.queryDataRule(ruleIdList);
    
    // 构建当前角色的AND条件组
    StringBuilder roleCondition = new StringBuilder();
    for (SysPermissionDataRuleModel dataRule : list) {
        // 拼接各个规则条件
        if (roleCondition.length() > 0) {
            roleCondition.append(" AND ");
        }
        // 规则条件处理逻辑...
    }
    
    // 将角色条件组加入总条件
    if (roleCondition.length() > 0) {
        if (roleConditions.length() > 0) {
            roleConditions.append(" OR ");
        }
        roleConditions.append("(").append(roleCondition).append(")");
    }
}

// 最终将数据权限条件加入查询
if (roleConditions.length() > 0) {
    queryWrapper.and(i -> i.apply(roleConditions.toString()));
}

优化效果验证

优化后的数据权限机制具有以下优势:

  1. 逻辑正确性:真实反映了"用户拥有任一角色权限即可访问对应数据"的业务需求
  2. 查询灵活性:不会因为用户拥有多个角色而意外缩小数据范围
  3. 性能保障:通过合理的条件拼接,确保生成的SQL执行效率
  4. 维护性:清晰的逻辑分层使代码更易于理解和后续维护

最佳实践建议

在实际项目中使用JeecgBoot数据权限时,建议:

  1. 角色设计:合理规划角色和数据权限的分配,避免过度细分
  2. 测试验证:对多角色用户的数据访问进行充分测试
  3. 性能监控:对复杂权限组合的查询进行性能监控
  4. 文档记录:详细记录系统中的数据权限规则,便于后续维护

通过本次优化,JeecgBoot的数据权限机制更加符合实际业务场景需求,为用户提供了更灵活、更准确的数据访问控制能力。

jeecg-boot
AI 低代码平台「低代码 + 零代码」双驱动!低代码可一键生成前后端代码;零代码可 5 分钟搭建系统;AI Skills 一句话画流程、设计表单、生成整套系统。内置 AI聊天、知识库、流程编排、MCP插件等,兼容主流大模型。引领「AI 生成 → 在线配置 → 代码生成 → 手工合并->AI修改」开发模式,消除 Java 项目 80% 的重复工作,提效而不失灵活。
项目地址:https://gitcode.com/GitHub_Trending/je/jeecg-boot
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
471
465
kernelkernel
deepin linux kernel
C
32
16
atomcodeatomcode
Claude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get Started
Rust
2.09 K
218
ops-nnops-nn
本项目是CANN提供的神经网络类计算算子库,实现网络在NPU上加速计算。
C++
700
1.4 K
docsdocs
暂无描述
Dockerfile
780
5.08 K
pytorchpytorch
Ascend Extension for PyTorch
Python
758
968
flutter_flutterflutter_flutter
本仓库是 Flutter SDK 与 Flutter Engine 的 OpenHarmony 适配版本,由 CPF-Flutter 团队维护。开发者可使用熟悉的 Flutter 技术栈开发 OpenHarmony 应用,3.35.7 及以后的适配版本可基于本仓库源码构建支持 OpenHarmony 的 Flutter Engine。
Dart
1.04 K
271
ops-transformerops-transformer
本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。
C++
880
2.03 K
mindquantummindquantum
MindQuantum is a general software library supporting the development of applications for quantum computation.
Python
183
111
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.11 K
682