巧用 MyBatis Plus 实现数据权限控制

MyBatis-Plus是一款基于MyBatis的增强工具，它提供了一些便捷的功能和增强的查询能力。数据权限控制是在系统中对用户访问数据进行限制的一种机制。在使用MyBatis-Plus进行数据权限控制时，可以采用以下几种方式： 1. 基于拦截器：可以使用MyBatis的拦截器机制，在执行SQL语句之前或之后进行拦截，并根据当前用户的权限信息进行数据过滤。可以通过自定义拦截器来实现数据权限的控制逻辑。 2. 基于注解：可以使用MyBatis-Plus提供的注解功能，在实体类的字段上标记相应的注解，用于表示该字段是否需要进行数据权限控制。可以通过自定义注解来实现更灵活的数据权限控制逻辑。 3. 基于Wrapper：可以使用MyBatis-Plus提供的Wrapper查询构造器，在查询时根据当前用户的权限信息构造相应的查询条件，从而实现数据权限的控制。 需要注意的是，数据权限控制是一个相对复杂的问题，具体的实现方式会根据系统的具体需求和架构而有所差异。以上只是一些常见的实现方式，具体如何设计和实现数据权限控制还需要根据具体情况进行调整。

### MyBatis-Plus 拦截器实现数据权限控制 #### 使用自定义注解与拦截器相结合的方式 为了实现在MyBatis Plus中对查询结果的数据权限过滤，可以采用自定义注解配合拦截器的方式来完成。这种方式不仅能够简化开发流程，还能有效减少SQL解析的风险。 当开发者希望在不修改原有业务逻辑的前提下增加数据访问层的安全机制时，可以通过创建特定场景下的注解来标记需要应用此安全措施的服务接口或方法[^2]。例如： ```java @Target({ ElementType.METHOD, ElementType.TYPE }) @Retention(RetentionPolicy.RUNTIME) public @interface DataPermission { String value(); } ``` 接着，在配置类中注册一个实现了`Interceptor`接口的组件，并重写其内的`intercept()`函数用于实际处理逻辑。在此过程中，可以从上下文中获取由上述自定义注解传递过来的信息并据此调整最终发出给数据库引擎执行的SQL语句[^1]。 对于具体的应用实例来说，则是在目标Service层的方法上添加之前定义好的注解，指定相应的条件表达式或者其他必要的参数。之后每当触发带有该注解标注的操作时，系统便会自动调用对应的拦截器来进行额外校验工作，从而达到预期效果。 下面是一个简单的例子展示如何设置这样的环境以及编写相关代码片段: ```java // 定义数据权限注解 import java.lang.annotation.*; @Documented @Inherited @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @interface DataScope {} // 创建拦截器类 @Component @Intercepts(@Signature(type = Executor.class, method = "query", args = {MappedStatement.class,Object.class,RowBounds.class,ResultHandler.class})) class DynamicDataSourceInterceptor implements Interceptor { private static final Logger logger = LoggerFactory.getLogger(DynamicDataSourceInterceptor.class); @Override public Object intercept(Invocation invocation) throws Throwable { MappedStatement ms = (MappedStatement)invocation.getArgs()[0]; Object parameterObject = invocation.getArgs()[1]; Method currentMethod = ReflectUtil.getMethodByClass(ms.getId(), parameterObject.getClass()); if(null != currentMethod && currentMethod.isAnnotationPresent(DataScope.class)){ // 获取当前登录用户的部门id或其他信息 Long deptId = SecurityContextHolder.getContext().getAuthentication().getName(); BoundSql boundSql = ms.getBoundSql(parameterObject); String sql = boundSql.getSql(); // 动态拼接sql，这里只是简单示范，实际情况可能更复杂 StringBuilder newSqlBuilder = new StringBuilder(sql.length() + 100).append(sql); // 假设表中有dept_id字段用来存储所属部门编号 int index = newSqlBuilder.lastIndexOf("WHERE"); if(index >= 0){ newSqlBuilder.insert(index + 5," AND t.dept_id = #{deptId}"); }else{ newSqlBuilder.append(" WHERE t.dept_id = #{deptId}"); } // 更新boundSql对象中的原始sql字符串和其他属性... MetaObject metaObject = SystemMetaObject.forObject(boundSql); metaObject.setValue("sql",newSqlBuilder.toString()); // 将新的参数加入到原参数列表里以便后续使用 Map<String,Object> paramsMap = (Map<String,Object>)parameterObject; paramsMap.put("deptId",deptId); } return invocation.proceed(); } } // 应用至服务端点处 @Service public class UserServiceImpl extends ServiceImpl<UserMapper, UserEntity> implements IUserService { @DataScope @Override public List<UserEntity> listUsers(){ return baseMapper.selectList(new QueryWrapper<>()); } } ``` 以上就是关于如何利用MyBatis Plus自带的拦截器特性结合自定义注解达成较为灵活高效的数据权限管理方案的一个基本介绍和实践案例说明。