JeeSite | 数据权限应用

　　中午吃饭时看了一下陆毅版的《三国》，刚好看的是蜀军缺粮，诸葛亮让王平去劫司马懿的粮。司马懿看蜀军用木牛流马运量很方便，就抢了蜀军的木牛流马仿制了一批，结果司马懿用它运粮时，被王平冒充司马懿的人在验粮时，对木牛流马动了手脚，结果木牛流马不能动弹了，被蜀军把几十万担的粮食抢走了。看到这里的时候，我想到了我们的项目。网上有个开源项目，在不熟悉的情况下把源码下载下来部署了就敢用？胆子是不是有点大？真遇到类似“木牛流马”的问题，那真的就亏大了啊。难道要联系作者？　　

　　呵呵～！！言归正传……

　　在各种系统中，经常会涉及到数据权限的管理。在 JeeSite 开源系统中已经基本给出了一套解决数据权限管理的解决方案。下面来简单的进行说明一下我项目中涉及到的应用。

问题出发

　　在系统中每个信息录入人员之间的数据要求在显示时是分离的，即人员 A 录入的信息人员 B 是看不到的，同理人员 B 录入的信息人员 A 同样也是看不到的，人员 A 和人员 B 属于同一个部门。但是，人员 A 和人员 B 的部门负责人可以同时看到人员 A 和人员 B 录入的信息。在这种情况下，就需要使用到数据权限。

JeeSite 对数据权限的支持

　　要完成数据权限的功能，需要分为两部分，一部分是设置角色中对“数据范围”的控制，另一部分是在需要进行数据权限控制的地方增加相应的代码。

　　在角色中设置“数据范围”比较简单，直接操作就可以了，如下图。

　　另外一部分则是要增加控制数据权限的代码，增加的方法在 JeeSite 的手册《内置组件的应用》中给出了关于数据权限的说明，说明如下：

数据权限
应用场景：某用户访问数据范围：公司及子公司，本公司，部门及子部门，本部门，当前用户，明细设置。
// 生成数据权限过滤条件（dsf为dataScopeFilter的简写，在xml中使用 ${sqlMap.dsf}调用权限SQL）
user.getSqlMap().put("dsf", dataScopeFilter(user.getCurrentUser(), "o", "u"));

<!-- 分页查询用户信息 -->
<select id="findList" parameterType="User" resultMap="userResult">
SELECT
        <include refid="userColumns"/>
FROM sys_user a
        <include refid="userJoins"/>
WHERE a.del_flag = '0'
        <!-- 数据范围过滤 -->
        ${sqlMap.dsf}
</select>

/**
 * 数据范围过滤
 * @param user 当前用户对象，通过“entity.getCurrentUser()”获取
 * @param officeAlias 机构表别名，多个用“,”逗号隔开。
 * @param userAlias 用户表别名，多个用“,”逗号隔开，传递空，忽略此参数
 * @return 标准连接条件对象
 */
String dataScopeFilter (User user, String officeAlias, String userAlias)

　　上面就是 JeeSite 手册中介绍的方法，首先要增加“生成数据权限过滤条件”，其次就是要“在 xml 中使用 ${sqlMap.dsf} 调用权限 SQL ”，就是这样的两部分。至于 dataScopeFilter() 是 JeeSite 提供的方法。

　　JeeSite 支持根据数据库表生成代码的功能，生成的代码包含 4 个 Java 文件、1 个 XML 文件和 2 个 JSP 文件。

　　比如数据库中的表名是 xxx_yyy ，那么生成的 4 个 Java 文件分别是 XxxYyy.java、XxxYyyController.java、XxxYyyService.java 和 XxxYyyDao.java，生成 XML 文件名是 XxxYyyDao.xml，生成的两个 JSP 文件分别是 XxxYyyForm.jsp 和 XxxYyyList.jsp。

　　对于改造权限的重点，在于 XxxYyyService.java 文件和 XxxYyyDao.xml 文件中。

实例演示

　　按照文档在 XxxYyyService.java 中添加“生成数据权限过滤条件”的代码，代码如下：

 public PagefindPage(Pagepage, XxxYyy xxxYyy) {
     // 生成数据权限过滤条件（dsf为dataScopeFilter的简写，在xml中使用 ${sqlMap.dsf}调用权限SQL）
     xxxYyy.getSqlMap().put("dsf", dataScopeFilter(UserUtils.getUser(), "o", "u"));
     return super.findPage(page, xxxYyy);
 }

　　首先使用 XxxYyy 的对象 xxxYyy 来调用 getSqlMap 方法，在手册中使用的是 user 作为示范的，这里需要替换成自己实际的对象。
　　在 dataScopeFilter() 方法中， o 和 u 是数据表的别名，因为要按照用户或部门进行过滤，因此实际的表要进行左连接，左连接时一般会给表起一个别名，左连接的部分代码如下：

 LEFT JOIN sys_user        u ON u.id = a.create_by
 LEFT JOIN sys_office      o ON u.office_id = o.id

　　也就是传入的 o 和 u 分别是 sys_office 表和 sys_user 表的别名，而 u.id=a.create_by 是表示 sys_user 的 id 和主表的 create_by 进行关联，而 u.office_id 和 o.id 进行关联。

　　基本到了这里第一步的“生成数据权限过滤条件”就完了，第二步需要在 XxxYyy.xml 中引用“ ${sqlMap.dsf} ”。

　　这里的 XML 文件是 MyBatis，只要在查询的 where 的结尾处引入即可，比如：

 </where>
     <!-- 数据范围过滤 -->
     ${sqlMap.dsf}
 <choose>

　　这样就基本可以解决数据权限的问题，并且我用 A 用户录入一条信息，B 用户录入一条信息，A 和 B 用户只能查看自己录入的数据，但是作为 A 和 B 的部门负责人 C 可以同时查看他们录入的数据。

补充

　　使用 dataScopeFilter() 的实现在 BaseService.java 中，该方法存在两个，他们的定义也稍微有所差别，两个定义分别如下：

 /**
  * 数据范围过滤
  * @param user 当前用户对象，通过“entity.getCurrentUser()”获取
  * @param officeAlias 机构表别名，多个用“,”逗号隔开。
  * @param userAlias 用户表别名，多个用“,”逗号隔开，传递空，忽略此参数
  * @return 标准连接条件对象
  */
 public static String dataScopeFilter(User user, String officeAlias, String userAlias);

 /**
  * 数据范围过滤（符合业务表字段不同的时候使用，采用exists方法）
  * @param entity 当前过滤的实体类
  * @param sqlMapKey sqlMap的键值，例如设置“dsf”时，调用方法：${sqlMap.sdf}
  * @param officeWheres office表条件，组成：部门表字段=业务表的部门字段
  * @param userWheres user表条件，组成：用户表字段=业务表的用户字段
  * @example
  * dataScopeFilter(user, "dsf", "id=a.office_id", "id=a.create_by");
  * dataScopeFilter(entity, "dsf", "code=a.jgdm", "no=a.cjr"); // 适应于业务表关联不同字段时使用，如果关联的不是机构id是code。
  */
 public static void dataScopeFilter(BaseEntity entity, String sqlMapKey, String officeWheres, String userWheres);

　　前面介绍的是调用了它的第一种形式。第一种形式的实现中对应角色设置中“数据范围”的实现如下：

 if (Role.DATA_SCOPE_ALL.equals(r.getDataScope())){
 }
 else if (Role.DATA_SCOPE_COMPANY_AND_CHILD.equals(r.getDataScope())){
 }
 else if (Role.DATA_SCOPE_COMPANY.equals(r.getDataScope())){
 }
 else if (Role.DATA_SCOPE_OFFICE_AND_CHILD.equals(r.getDataScope())){
 }
 else if (Role.DATA_SCOPE_OFFICE.equals(r.getDataScope())){
 }
 else if (Role.DATA_SCOPE_CUSTOM.equals(r.getDataScope())){
 }
 //else if (Role.DATA_SCOPE_SELF.equals(r.getDataScope())){
 dataScope.add(r.getDataScope());

　　其中有一些如 DATA_SCOPE_ALL 等定义，如下所示：

 // 数据范围（1：所有数据；2：所在公司及以下数据；3：所在公司数据；4：所在部门及以下数据；5：所在部门数据；8：仅本人数据；9：按明细设置）
 public static final String DATA_SCOPE_ALL = "1";
 public static final String DATA_SCOPE_COMPANY_AND_CHILD = "2";
 public static final String DATA_SCOPE_COMPANY = "3";
 public static final String DATA_SCOPE_OFFICE_AND_CHILD = "4";
 public static final String DATA_SCOPE_OFFICE = "5";
 public static final String DATA_SCOPE_SELF = "8";
 public static final String DATA_SCOPE_CUSTOM = "9";

　　用以上数据对比角色中“数据范围”的部分，如图：

　　从图中可以看出，在实现的部分通过 if / elseif 来实现了不同选项的 SQL 语句的拼接，拼接后的内容被引入到 MyBatis 中，从而实现了数据权限的管理。

　　到此，关于 JeeSite 中数据权限的基本介绍就到这里了。我本身不熟悉 Java 语言，对于 JeeSite 的二次开发也是我第一次接触 Java 语言，写在这里方便下次使用。有不正确的，请指正！

---

我的微信公众号：“码农UP2U”