JEECG-Boot中实现数据权限隔离的配置方法

概述

在JEECG-Boot 3.7.1版本中，实现数据权限隔离是一个常见的业务需求。本文将以商品表为例，详细介绍如何配置系统，使普通用户只能看到自己创建的数据，而管理员可以查看所有数据。

数据权限隔离的应用场景

在实际业务系统中，数据权限隔离是一个基本的安全需求。例如：

• 业务员只能查看自己录入的客户资料
• 服务人员只能处理自己负责的工作单
• 部门主管只能查看本部门的业务数据

在JEECG-Boot框架中，通过内置的数据权限功能可以轻松实现这类需求。

具体配置步骤

1. 确认表结构

首先确保你的商品表中包含创建人字段（通常为create_by），该字段会记录数据的创建者信息。

2. 进入数据权限配置

1. 登录系统管理员账号
2. 进入"系统管理"菜单
3. 选择"数据权限"功能模块

3. 创建数据权限规则

1. 点击"新增"按钮创建新规则

2. 填写规则基本信息：

   • 规则名称：如"商品数据权限"
   • 规则编码：自定义唯一标识
   • 规则类型：选择"按创建人过滤"

3. 配置权限条件：

   • 选择"商品表"作为目标表
   • 设置条件表达式：create_by = #{sys_user_code}
   • 其中#{sys_user_code}是系统变量，会自动替换为当前用户账号

4. 分配权限规则

1. 创建完成后，进入"角色管理"
2. 为普通用户角色分配刚创建的数据权限规则
3. 管理员角色不需要分配此规则，保持默认即可

实现原理

JEECG-Boot的数据权限功能基于以下技术实现：

1. SQL拦截：框架会在执行SQL查询前，自动根据配置的规则修改查询条件
2. 变量替换：系统内置变量如#{sys_user_code}会在运行时替换为实际值
3. 权限合并：当用户拥有多个角色时，系统会智能合并各角色的数据权限规则

高级配置选项

除了基本的创建人过滤外，JEECG-Boot还支持更复杂的数据权限配置：

1. 部门数据隔离：用户可以查看本部门及下属部门的数据
2. 自定义SQL条件：编写复杂的SQL表达式实现特殊过滤逻辑
3. 多条件组合：通过AND/OR逻辑组合多个过滤条件

注意事项

1. 确保测试环境验证配置效果后再部署到生产环境
2. 对于性能敏感的表，建议在相关字段上建立索引
3. 数据权限规则修改后，可能需要清除缓存才能生效
4. 复杂的权限规则可能会影响查询性能，需做好平衡

通过以上配置，JEECG-Boot可以轻松实现用户只能查看自己创建数据的需求，同时保持管理员的全数据访问权限。这种机制既保证了数据安全，又简化了开发工作。