JeecgBoot项目中多角色数据权限的AND与OR逻辑处理

在JeecgBoot 3.6.3版本中，当用户拥有多个角色且每个角色配置了不同的数据权限时，系统默认会使用AND逻辑拼接这些数据权限条件。这种处理方式在某些业务场景下可能会导致查询结果不符合预期。

问题背景分析

在实际业务中，经常会遇到一个用户同时拥有多个角色的情况。例如：

• 用户A同时担任B部门主管和C部门主管
• B部门主管角色配置了只能查看B部门数据的数据权限
• C部门主管角色配置了只能查看C部门数据的数据权限

按照系统默认的AND逻辑处理方式，查询条件会被组合为"部门=B AND 部门=C"，这显然无法返回任何结果，因为一个数据记录不可能同时属于两个部门。

解决方案探讨

JeecgBoot框架提供了两种解决这一问题的方案：

1. 使用Shiro注解控制角色逻辑

可以在Controller方法上使用Shiro的@RequiresRoles注解，并通过logical参数指定角色之间的逻辑关系：

@RequiresRoles(value = {"admin", "test"}, logical = Logical.OR)
public void someMethod() {
    // 方法实现
}

这种方式适用于角色级别的权限控制，但不会直接影响数据权限的SQL拼接逻辑。

2. 修改QueryGenerator的数据权限处理逻辑

更直接的解决方案是修改QueryGenerator类中的installMplus方法，将默认的AND逻辑改为OR逻辑：

// 修改前
queryWrapper.and(...);

// 修改后
queryWrapper.or(...);

这种修改会直接影响数据权限条件的拼接方式，使得多个角色的数据权限条件使用OR逻辑组合，从而解决上述业务场景中的问题。

实现建议

对于大多数业务场景，建议采用第二种方案，即修改QueryGenerator的数据权限处理逻辑。这种修改更加直接，能够确保数据权限查询结果符合业务预期。

如果采用第一种方案，虽然可以实现角色级别的权限控制，但不会改变数据权限条件的拼接方式，可能无法完全解决问题。

注意事项

在进行此类修改时，需要考虑以下因素：

1. 安全性影响：OR逻辑可能会扩大数据访问范围，需确保不会导致数据泄露
2. 性能影响：OR条件可能会影响查询性能，特别是当条件复杂时
3. 业务一致性：确保修改后的逻辑符合所有相关业务场景的需求

建议在修改后进行充分的测试，包括功能测试和性能测试，以确保系统行为符合预期。