Jeecg-Boot多角色数据权限优化实践

背景介绍

在Jeecg-Boot 3.6.3版本中，系统原有的数据权限处理机制存在一个需要优化的地方：当用户拥有多个角色时，系统会将不同角色的数据权限条件用AND逻辑连接，这导致用户只能访问同时满足所有角色权限的数据，而非预期的可以访问任意一个角色权限范围内的数据。

问题分析

在权限管理系统中，一个用户通常会被分配多个角色，每个角色又可能配置不同的数据权限规则。理想情况下，用户应该能够访问其任意一个角色所允许的数据范围，即多个角色权限之间应该使用OR逻辑连接。

然而，Jeecg-Boot原有的实现将所有角色的数据权限条件用AND连接，这造成了以下问题：

1. 用户实际能访问的数据范围被过度限制
2. 当用户拥有多个角色时，只能访问权限最严格的那部分数据
3. 与业务场景中"角色权限叠加"的预期不符

解决方案

通过对installMplus方法的改造，我们实现了更合理的权限处理逻辑：

1. 角色间权限处理：不同角色的数据权限条件使用OR连接
2. 角色内权限处理：同一角色的多个数据权限条件仍保持AND连接
3. 条件分组：将每个角色的权限条件用括号包裹，确保逻辑清晰

关键实现代码如下：

// 定义一个StringBuilder用于拼接不同角色的数据权限条件
StringBuilder roleConditions = new StringBuilder();

// 获取当前用户角色
List<String> roleIds = commonAPI.getRoleIdsByUsername(sysUserCacheInfo.getSysUserCode());
boolean isFirstRole = true;

for (String roleId : roleIds) {
    // 获取并处理每个角色的数据权限规则
    StringBuilder roleCondition = new StringBuilder();
    boolean isFirstCondition = true;
    
    // 处理角色内的多个数据权限规则
    for (SysPermissionDataRuleModel dataRule : list) {
        if (!isFirstCondition) {
            roleCondition.append(" AND ");
        }
        // 拼接具体的数据权限条件
        // ...
        isFirstCondition = false;
    }
    
    // 将角色条件添加到总条件中
    if (roleCondition.length() > 0) {
        if (!isFirstRole) {
            roleConditions.append(" OR ");
        }
        roleConditions.append("(").append(roleCondition).append(")");
        isFirstRole = false;
    }
}

// 将最终条件添加到查询中
if (roleConditions.length() > 0) {
    queryWrapper.and(i -> i.apply(roleConditions.toString()));
}

实现效果

优化后的权限系统具有以下特点：

1. 更符合业务逻辑：用户可以访问其任意一个角色权限范围内的数据
2. 条件分组清晰：使用括号明确区分不同角色的权限条件
3. 与查询条件解耦：数据权限条件与普通查询条件保持独立，避免逻辑混乱
4. 兼容原有功能：不影响单角色用户的权限处理

最佳实践建议

1. 权限设计原则：在设计数据权限时，应考虑"最小权限"和"权限叠加"原则
2. 角色分配策略：为用户分配角色时，应考虑各角色权限之间的关系
3. 测试验证：修改权限逻辑后，应充分测试各种角色组合下的数据访问情况
4. 性能考量：当用户拥有大量角色时，应注意查询条件的复杂度对性能的影响

总结

通过对Jeecg-Boot数据权限处理的优化，我们实现了更灵活、更符合实际业务需求的权限管理系统。这一改进不仅解决了原有实现中的逻辑问题，还为系统提供了更好的扩展性和可维护性。开发者在实现类似功能时，应充分考虑业务场景中的实际需求，设计合理的权限处理逻辑。