一、背景介绍

WEB类型软件产品,在Java(SpringBoot)+MybatisPlus架构场景下,本文针对下面两个问题,提供解决方案:

  • 多租户的产品,想在表内级别上,实现租户数据隔离(分表、分库方案不在本文讨论范围内)。
  • ToB、ToG类型的软件产品,需要实现数据权限鉴权。例如用户数据、部门数据、租户数据等不同级别的鉴权。

Demo源码仓库:java-test: java练习Demo项目 – Gitee.com

二、MybatisPlus插件

MyBatis-Plus官网

MyBatis-Plus插件

目前MybatisPlus官方文档中已有的插件功能:

  • 自动分页: PaginationInnerInterceptor
  • 多租户: TenantLineInnerInterceptor
  • 动态表名: DynamicTableNameInnerInterceptor
  • 乐观锁: OptimisticLockerInnerInterceptor
  • sql 性能规范: IllegalSQLInnerInterceptor
  • 防止全表更新与删除: BlockAttackInnerInterceptor

各种插件的使用方法,网上资料也比较多,大家可自行百度。

另外,在MybatisPlus 3.x及以后的版本里,我们可以从源码里找到DataPermissionInterceptor数据权限处理器插件,虽然截止本文编写时(20230117),官网文档中还没有此插件的说明,但已经能百度到DataPermissionInterceptor拦截器的一些使用案例了。

个人感觉相比多租户拦截器TenantLineInnerInterceptor的用法,官方提供的数据权限拦截器DataPermissionInterceptor使用起来还是过于复杂,而且针对CRUD操作的鉴权功能也不够强大,因此参考多租户拦截器的实现原理,对数据权限拦截器进行了改造,后续有空了会将改造后的代码推荐给官方,看是否可以被采纳。见Demo源码仓库。

MybatisPlus的maven依赖:

            com.baomidou        mybatis-plus-boot-starter                3.5.3.1                mysql        mysql-connector-java        8.0.29                org.springframework.boot        spring-boot-starter-web        2.3.4.RELEASE

本文后续的例子中,所用的数据库结构:

/* Navicat Premium Data Transfer Source Server         : mysql8 Source Server Type    : MySQL Source Server Version : 80027 Source Host           : localhost:3306 Source Schema         : wsp-test Target Server Type    : MySQL Target Server Version : 80027 File Encoding         : 65001 Date: 17/01/2023 16:26:17*/SET NAMES utf8mb4;SET FOREIGN_KEY_CHECKS = 0;-- ------------------------------ Table structure for wsp_org-- ----------------------------DROP TABLE IF EXISTS `wsp_org`;CREATE TABLE `wsp_org`  (  `id` bigint UNSIGNED NOT NULL AUTO_INCREMENT COMMENT '主键ID',  `create_time` timestamp NOT NULL COMMENT '创建时间',  `update_time` timestamp NOT NULL COMMENT '更新时间',  `org_name` varchar(300) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '部门名称',  `org_address` varchar(300) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '部门地址',  PRIMARY KEY (`id`) USING BTREE) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci COMMENT = '部门表' ROW_FORMAT = Dynamic;-- ------------------------------ Table structure for wsp_role-- ----------------------------DROP TABLE IF EXISTS `wsp_role`;CREATE TABLE `wsp_role`  (  `id` bigint UNSIGNED NOT NULL AUTO_INCREMENT COMMENT '主键ID',  `create_time` timestamp NOT NULL COMMENT '创建时间',  `update_time` timestamp NOT NULL COMMENT '更新时间',  `tenant_id` bigint NULL DEFAULT NULL COMMENT '租户id',  `role_name` varchar(300) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '角色名称',  `role_code` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '角色编码',  PRIMARY KEY (`id`) USING BTREE) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci COMMENT = '角色表' ROW_FORMAT = Dynamic;-- ------------------------------ Table structure for wsp_user-- ----------------------------DROP TABLE IF EXISTS `wsp_user`;CREATE TABLE `wsp_user`  (  `id` bigint unsigned NOT NULL AUTO_INCREMENT COMMENT '主键ID',  `create_time` timestamp NOT NULL COMMENT '创建时间',  `create_by` bigint unsigned NOT NULL COMMENT '创建人',  `update_time` timestamp NOT NULL COMMENT '更新时间',  `tenant_id` bigint NOT NULL COMMENT '租户id',  `org_id` bigint NOT NULL COMMENT '部门id',  `role_id` bigint NOT NULL COMMENT '角色id',  `name` varchar(300) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '姓名',  `age` int unsigned NOT NULL DEFAULT '0' COMMENT '年龄',  PRIMARY KEY (`id`) USING BTREE) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci COMMENT = '用户表' ROW_FORMAT = Dynamic;SET FOREIGN_KEY_CHECKS = 1;

三、基于MybatisPlus的多租户插件

1、开发步骤

TenantLineInnerInterceptor是MybatisPlus中提供的多租户插件,其使用方法大致分为下面三步:

步骤一、设置环境变量,配置拦截规则

对夸租户的表设置白名单,忽略多租户拦截,这些配置可以放到配置文件中进行环境配置,例如:

tenant:  enable: true  column: tenant_id  filterTables:  ignoreTables:    - wsp_org  ignoreLoginNames:

例如wsp_org表结构中,没有tenant_id多租户字段,那么多租户拦截器不拦截该表。

import org.springframework.boot.context.properties.ConfigurationProperties;import java.util.List;/** * 多租户配置类 * * @author wangshaopeng@talkweb.com.cn * @Date 2023-01-11 */@Getter@Setter@ConfigurationProperties(prefix = "tenant")public class TenantProperties {    /**     * 是否开启多租户     */    private Boolean enable = true;    /**     * 租户id字段名     */    private String column = "tenant_id";    /**     * 需要进行租户id过滤的表名集合     */    private List filterTables;    /**     * 需要忽略的多租户的表,此配置优先filterTables,若此配置为空则启用filterTables     */    private List ignoreTables;    /**     * 需要排除租户过滤的登录用户名     */    private List ignoreLoginNames;}

步骤二、实现TenantLineHandler接口

实现TenantLineHandler接口

import com.baomidou.mybatisplus.extension.plugins.handler.TenantLineHandler;import com.sky.wsp.mybatis.plus.utils.SecurityContextHolder;import com.sky.wsp.mybatis.plus.config.properties.TenantProperties;import net.sf.jsqlparser.expression.Expression;import net.sf.jsqlparser.expression.LongValue;import java.util.List;/** * 多租户处理类 * * @author wangshaopeng@talkweb.com.cn * @Date 2023-01-11 */public class MultiTenantHandler implements TenantLineHandler {    private final TenantProperties properties;    public MultiTenantHandler(TenantProperties properties) {        this.properties = properties;    }    /**     * 获取租户 ID 值表达式,只支持单个 ID 值     * 
     *     * @return 租户 ID 值表达式     */    @Override    public Expression getTenantId() {        Long tenantId = SecurityContextHolder.getTenantId();        return new LongValue(tenantId);    }    /**     * 获取租户字段名     * 
     * 默认字段名叫: tenant_id     *     * @return 租户字段名     */    @Override    public String getTenantIdColumn() {        return properties.getColumn();    }    /**     * 根据表名判断是否忽略拼接多租户条件     * 
     * 默认都要进行解析并拼接多租户条件     *     * @param tableName 表名     * @return 是否忽略, true:表示忽略,false:需要解析并拼接多租户条件     */    @Override    public boolean ignoreTable(String tableName) {        //忽略指定用户对租户的数据过滤        List ignoreLoginNames=properties.getIgnoreLoginNames();        String loginName=SecurityContextHolder.getUsername();        if(null!=ignoreLoginNames && ignoreLoginNames.contains(loginName)){            return true;        }        //忽略指定表对租户数据的过滤        List ignoreTables = properties.getIgnoreTables();        if (null != ignoreTables && ignoreTables.contains(tableName)) {            return true;        }        return false;    }}

步骤三、启用TenantLineInnerInterceptor多租户拦截器

import com.baomidou.mybatisplus.annotation.DbType;import com.baomidou.mybatisplus.core.handlers.MetaObjectHandler;import com.baomidou.mybatisplus.extension.plugins.MybatisPlusInterceptor;import com.baomidou.mybatisplus.extension.plugins.inner.TenantLineInnerInterceptor;import com.sky.wsp.mybatis.plus.config.properties.TenantProperties;import com.sky.wsp.mybatis.plus.handler.DBMetaObjectHandler;import com.sky.wsp.mybatis.plus.handler.MultiTenantHandler;import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;import org.springframework.boot.context.properties.EnableConfigurationProperties;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;/** * MybatisPlus配置类 * * @author wangshaopeng@talkweb.com.cn * @Date 2023-01-11 */@Configuration(proxyBeanMethods = false)@EnableConfigurationProperties({        TenantProperties.class,        DataPermissionProperties.class})public class MybatisPlusConfig {    /**     * 单页分页条数限制(默认无限制,参见 插件#handlerLimit 方法)     */    private static final Long MAX_LIMIT = 1000L;    @Bean    public MybatisPlusInterceptor mybatisPlusInterceptor(TenantProperties tenantProperties) {        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();        if (Boolean.TRUE.equals(tenantProperties.getEnable())) {            // 启用多租户拦截            interceptor.addInnerInterceptor(new TenantLineInnerInterceptor(new MultiTenantHandler(tenantProperties)));        }        return interceptor;    }    @Bean    @ConditionalOnMissingBean    public MetaObjectHandler metaObjectHandler() {        return new DBMetaObjectHandler();    }}

2、执行结果

针对MybatisPlus提供的API、自定义Mapper中的statement(不清楚statement概念的同学可自行百度)我都进行了测试,均可正常拦截,下面附上一些拦截前后SQL对比的例子:

例1:使用MybatisPlus的insert方法,添加数据时会自动初始化tenant_id列

处理前处理后
INSERT INTO wsp_user (
create_time,
create_by,
update_time,
org_id,
role_id,
NAME,
age
)
VALUES
(
?,
?,
?,
?,
?,
?,
?
)		INSERT INTO wsp_user (
create_time,
create_by,
update_time,
org_id,
role_id,
NAME,
age,
tenant_id
)
VALUES
(?,
?,
?,
?,
?,
?,
?,
1)

例2:使用MybatisPlus的insert方法,添加数据时会自动初始化tenant_id列

处理前处理后
SELECT
id,
create_time,
update_time,
tenant_id,
org_id,
role_id,
NAME,
age
FROM
wsp_user
WHERE
id =?		SELECT
id,
create_time,
update_time,
tenant_id,
org_id,
role_id,
NAME,
age
FROM
wsp_user
WHERE
id = ?
AND tenant_id = 1

例3:使用自定义Mapper的statement方法

处理前处理后
SELECT
id,
create_time,
update_time,
tenant_id,
org_id,
NAME,
age
FROM
wsp_user AS USER
WHERE
USER.id = ?		SELECT
id,
create_time,
update_time,
tenant_id,
org_id,
NAME,
age
FROM
wsp_user AS USER
WHERE
USER.id = ?
AND USER.tenant_id = 1

例4:使用自定义Mapper的statement方法,进行多表关联查询

处理前处理后
SELECT USER
.tenant_id,
USER.org_id,
org.org_name,
org.org_address,
USER.role_id,
role.role_name,
role.role_code,
USER.id AS user_id,
USER.NAME AS user_name,
USER.age AS user_age
FROM
wsp_user
AS USER LEFT JOIN wsp_org AS org ON USER.org_id = org.id
LEFT JOIN wsp_role AS role ON USER.role_id = role.id
WHERE
USER.id = ?		SELECT USER
.tenant_id,
USER.org_id,
org.org_name,
org.org_address,
USER.role_id,
role.role_name,
role.role_code,
USER.id AS user_id,
USER.NAME AS user_name,
USER.age AS user_age
FROM
wsp_user
AS USER LEFT JOIN wsp_org AS org ON USER.org_id = org.id
LEFT JOIN wsp_role AS role ON USER.role_id = role.id
AND role.tenant_id = 1
WHERE
USER.id = ?
AND USER.tenant_id = 1

四、基于MybatisPlus实现自定义数据权限插件

由于官方提供的数据权限拦截器DataPermissionInterceptor,只能自己拼装SQL来实现数据鉴权,拼装SQL操作比较困难,因此参考多租户拦截器,对数据权限拦截器进行了改造,简化了使用难度,见Demo源码仓库:

  • 支持自定义数据权限标记列,即使用表的哪个列进行数据权限过滤
  • 支持自定义表白名单、账号白名单
  • 数据权限包括:是否是创建者、是否有部门数据权限
  • select查询时,自动补充数据权限过滤条件
  • insert添加时,自动校验插入数据的部门外键,是否在当前登录人的操作权限范围内
  • update更新时,自动校验更新数据的部门外键,是否在当前登录人的操作权限范围内
  • delete删除时,自动补充数据权限过滤条件

注意:数据权限的id外键,在新建数据时,是无法通过拦截器进行初始化的,因为一个账号的数据权限,通常会包含多个部门,那新建数据时,到底是属于哪个部门下的数据,不好判断,因此由用户自己(开发人员)在业务代码中对数据权限id进行初始化。

1、开发步骤

类似多租户插件,数据权限插件使用方法也大致分为下面三步:

步骤一、设置环境变量,配置拦截规则

对夸部门共享的表设置白名单,忽略多数据权限拦截,这些配置可以放到配置文件中进行环境配置,例如:

data:  permission:    enable: true    # 创建人的标记列    dataCreatorColumn: create_by    # 部门数据权限的标记列    dataPermissionIdColumn: org_id    filterTables:    ignoreTables:      # 不进行数据鉴权拦截的表      - wsp_org      - wsp_role    ignoreLoginNames:

例如wsp_org、wsp_role表结构中,没有org_id部门外键,那么数据权限拦截器不拦截该表。

import org.springframework.boot.context.properties.ConfigurationProperties;import java.util.List;/** * 数据权限配置类 * * @author wangshaopeng@talkweb.com.cn * @Date 2023-01-11 */@Getter@Setter@ConfigurationProperties(prefix = "data.permission")public class DataPermissionProperties {    /**     * 是否开启数据权限拦截     */    private Boolean enable = true;    /**     * 数据创建人字段名     */    private String dataCreatorColumn = "creator";    /**     * 数据权限id字段名     */    private String dataPermissionIdColumn = "permission_id";    /**     * 需要进行数据权限id过滤的表名集合     */    private List filterTables;    /**     * 需要忽略的多数据权限的表,此配置优先filterTables,若此配置为空则启用filterTables     */    private List ignoreTables;    /**     * 需要排除数据权限过滤的登录用户名     */    private List ignoreLoginNames;}

步骤二、实现MyDataPermissionHandler接口

实现MyDataPermissionHandler接口,(这个接口也是参考多租户的接口新建的)

import com.sky.wsp.mybatis.plus.config.properties.DataPermissionProperties;import com.sky.wsp.mybatis.plus.plugins.handler.MyDataPermissionHandler;import com.sky.wsp.mybatis.plus.utils.SecurityContextHolder;import java.util.List;/** * 基于用户组织机构(Org)的数据权限处理类 * * @author wangshaopeng@talkweb.com.cn * @Date 2023-01-11 */public class OrgDataPermissionHandler implements MyDataPermissionHandler {    private final DataPermissionProperties properties;    public OrgDataPermissionHandler(DataPermissionProperties properties) {        this.properties = properties;    }    @Override    public Long getDataCreator() {        // user_id作为creator        return SecurityContextHolder.getUserId();    }    @Override    public String getDataCreatorColumn() {        // user_id作为creator        return properties.getDataCreatorColumn();    }    @Override    public List getDataPermissionIdSet() {        // org_id作为数据权限        return SecurityContextHolder.getOrgIds();    }    @Override    public String getDataPermissionIdColumn() {        // org_id作为数据权限        return properties.getDataPermissionIdColumn();    }    @Override    public boolean ignoreTable(String tableName) {        //忽略指定用户对数据权限的过滤        List ignoreLoginNames=properties.getIgnoreLoginNames();        String loginName=SecurityContextHolder.getUsername();        if(null!=ignoreLoginNames && ignoreLoginNames.contains(loginName)){            return true;        }        //忽略指定表对数据权限的过滤        List ignoreTables = properties.getIgnoreTables();        if (null != ignoreTables && ignoreTables.contains(tableName)) {            return true;        }        return false;    }}

步骤三、启用MyDataPermissionInterceptor多租户拦截器

MyDataPermissionInterceptor就是参考多租户拦截器实现的数据权限拦截器,核心逻辑都在这个类里。

import com.baomidou.mybatisplus.annotation.DbType;import com.baomidou.mybatisplus.core.handlers.MetaObjectHandler;import com.baomidou.mybatisplus.extension.plugins.MybatisPlusInterceptor;import com.baomidou.mybatisplus.extension.plugins.inner.OptimisticLockerInnerInterceptor;import com.baomidou.mybatisplus.extension.plugins.inner.PaginationInnerInterceptor;import com.baomidou.mybatisplus.extension.plugins.inner.TenantLineInnerInterceptor;import com.sky.wsp.mybatis.plus.config.properties.DataPermissionProperties;import com.sky.wsp.mybatis.plus.config.properties.TenantProperties;import com.sky.wsp.mybatis.plus.handler.DBMetaObjectHandler;import com.sky.wsp.mybatis.plus.handler.MultiTenantHandler;import com.sky.wsp.mybatis.plus.handler.OrgDataPermissionHandler;import com.sky.wsp.mybatis.plus.plugins.inner.MyDataPermissionInterceptor;import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;import org.springframework.boot.context.properties.EnableConfigurationProperties;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;/** * MybatisPlus配置类 * * @author wangshaopeng@talkweb.com.cn * @Date 2023-01-11 */@Configuration(proxyBeanMethods = false)@EnableConfigurationProperties({        TenantProperties.class,        DataPermissionProperties.class})public class MybatisPlusConfig {    /**     * 单页分页条数限制(默认无限制,参见 插件#handlerLimit 方法)     */    private static final Long MAX_LIMIT = 1000L;    @Bean    public MybatisPlusInterceptor mybatisPlusInterceptor(TenantProperties tenantProperties, DataPermissionProperties dataPermissionProperties) {        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();        if (Boolean.TRUE.equals(tenantProperties.getEnable())) {            // 启用多租户拦截            interceptor.addInnerInterceptor(new TenantLineInnerInterceptor(new MultiTenantHandler(tenantProperties)));        }        if (Boolean.TRUE.equals(dataPermissionProperties.getEnable())) {            // 启用数据权限拦截            interceptor.addInnerInterceptor(new MyDataPermissionInterceptor(new OrgDataPermissionHandler(dataPermissionProperties)));        }        // 分页拦截        PaginationInnerInterceptor paginationInterceptor = new PaginationInnerInterceptor(DbType.MYSQL);        paginationInterceptor.setMaxLimit(MAX_LIMIT);        interceptor.addInnerInterceptor(paginationInterceptor);        // 乐观锁拦截        interceptor.addInnerInterceptor(new OptimisticLockerInnerInterceptor());        return interceptor;    }    @Bean    @ConditionalOnMissingBean    public MetaObjectHandler metaObjectHandler() {        return new DBMetaObjectHandler();    }}

2、执行结果

针对MybatisPlus提供的API、自定义Mapper中的statement(不清楚statement概念的同学可自行百度)我都进行了测试,均可正常拦截,下面附上一些拦截前后SQL对比的例子:

处理前处理后
SELECT USER
.tenant_id,
USER.org_id,
org.org_name,
org.org_address,
USER.role_id,
role.role_name,
role.role_code,
USER.id AS user_id,
USER.NAME AS user_name,
USER.age AS user_age
FROM
wsp_user
AS USER LEFT JOIN wsp_org AS org ON USER.org_id = org.id
LEFT JOIN wsp_role AS role ON USER.role_id = role.id
WHERE
USER.id = ?		SELECT USER
.tenant_id,
USER.org_id,
org.org_name,
org.org_address,
USER.role_id,
role.role_name,
role.role_code,
USER.id AS user_id,
USER.NAME AS user_name,
USER.age AS user_age
FROM
wsp_user
AS USER LEFT JOIN wsp_org AS org ON USER.org_id = org.id
LEFT JOIN wsp_role AS role ON USER.role_id = role.id
AND role.tenant_id = 1
WHERE
USER.id = ?
AND USER.tenant_id = 1
AND (
create_by = 1
OR USER.org_id IN ( 4, 5, 6 ))

其他的增删改查的例子,同多租户拦截器,这里就不赘述了。

五、忽略拦截

在一些场景下,无需多租户拦截、无需数据鉴权拦截,或者对于一些超级管理员使用的接口,希望夸租户查询、免数据鉴权时,可以通过下面几种方式实现忽略拦截:

  • 使用MybatisPlus框架自带的@InterceptorIgnore注解,以用在Mapper类上,也可以用在方法上
  • 添加超级用户账号白名单,在自定义的Handler里进行逻辑判断,跳过拦截
  • 添加数据表白名单,在自定义的Handler里进行逻辑判断,跳过拦截
 /**     * 详情,使用@InterceptorIgnore注解,忽略多租户拦截 
     * 注解@InterceptorIgnore可以用在Mapper类上,也可以用在方法上     *     * @param id     * @return     */    @InterceptorIgnore(tenantLine = "true")    UserOrgVO myFindByIdNoTenant(@Param(value = "id") Long id);
tenant:  enable: true  column: tenant_id  filterTables:  ignoreTables:    # 不进行多租户拦截的表    - wsp_org  ignoreLoginNames:    # 这里配置了ID,需要使用username的,可在MultiTenantHandler中自己实现判断逻辑    - 99    - 98data:  permission:    enable: true    dataCreatorColumn: create_by    dataPermissionIdColumn: org_id    filterTables:    ignoreTables:      # 不进行数据鉴权拦截的表      - wsp_org      - wsp_role    ignoreLoginNames:      # 这里配置了ID,需要使用username的,可在OrgDataPermissionHandler中自己实现判断逻辑      - 99       - 98

六、参考

  • Saas.数据权限控制(Sql解析)
  • or 和 in 的效率对比
  • 常见的功能权限模型