Jeecg-Boot项目中多角色数据权限的AND与OR逻辑处理

在Jeecg-Boot 3.6.3版本中，当用户拥有多个角色且每个角色配置了不同的数据权限时，系统默认会使用AND逻辑拼接这些数据权限条件。这种处理方式在某些业务场景下可能会导致查询结果不符合预期。

问题背景分析

在实际业务中，经常会遇到一个用户同时拥有多个角色的情况。例如：

• 用户A同时担任B部门主管和C部门主管
• B部门主管角色配置了只能查看B部门数据的数据权限
• C部门主管角色配置了只能查看C部门数据的数据权限

按照系统默认的AND逻辑处理，查询条件会变成"部门=B AND 部门=C"，这显然会导致查询不到任何数据。而实际业务需求应该是"部门=B OR 部门=C"，即用户可以查看B部门或C部门的数据。

解决方案

Jeecg-Boot提供了两种解决这个问题的方式：

1. 使用Shiro注解控制角色逻辑

可以在Controller方法上使用Shiro的@RequiresRoles注解，通过设置logical参数为Logical.OR来指定角色之间的OR逻辑关系：

@RequiresRoles(value = {"admin", "test"}, logical = Logical.OR)
public void someMethod() {
    // 方法实现
}

这种方式适用于角色级别的权限控制，但不直接影响数据权限的SQL拼接逻辑。

2. 修改QueryGenerator的数据权限处理逻辑

更直接的解决方案是修改QueryGenerator类中的installMplus方法，将数据权限条件的拼接逻辑从AND改为OR：

// 修改前
queryWrapper.and(...);

// 修改后
queryWrapper.or(...);

这种修改会直接影响所有数据权限条件的拼接方式，使多个数据权限条件之间使用OR逻辑连接。

实现建议

在实际项目中，建议根据具体业务需求选择合适的方式：

1. 如果希望全局改变数据权限的处理逻辑，可以采用修改QueryGenerator的方式
2. 如果只需要在特定接口改变角色权限的逻辑，可以使用Shiro注解
3. 更灵活的做法是扩展数据权限处理机制，支持可配置的逻辑连接方式(AND/OR)

对于大多数需要多角色数据权限OR逻辑的场景，修改QueryGenerator是最直接有效的解决方案。但需要注意这种修改会影响整个系统的数据权限处理逻辑，应当在充分测试后实施。

总结

Jeecg-Boot默认使用AND逻辑拼接多角色数据权限条件，这在某些业务场景下可能不符合需求。通过修改QueryGenerator或使用Shiro注解，可以灵活地实现OR逻辑的数据权限控制。在实际项目中，应当根据具体业务需求选择最合适的实现方式。