登录 注册
开源 企业版 高校版 私有云 Gitee AI NEW
扫描微信二维码支付
取消
支付完成
Watch
不关注 关注所有动态 仅关注版本发行动态 关注但不提醒动态
1 Star 0 Fork 36

戏子衿 / wonder-server

forked from weihuazhou / wonder-server 
代码 Issues 0 Pull Requests 0 Wiki 统计 流水线
服务
加入 Gitee
与超过 1200万 开发者一起发现、参与优秀开源项目,私有仓库也完全免费 :)
免费加入
克隆/下载
分支 3
标签 0
贡献代码
同步代码
创建 Pull Request
了解更多
对比差异 通过 Pull Request 同步
同步更新到分支
通过 Pull Request 同步
将会在向当前分支创建一个 Pull
Request,合入后将完成同步
取消
提示: 由于 Git 不支持空文件夾,创建文件夹后会生成空的 .keep 文件
image
sql
wonder-admin
wonder-common
wonder-generator
wonder-processor
.gitignore
LICENSE
README.md
pom.xml
建议.md
Loading...
README
MIT

wonder-server

admin/123456

前端 https://gitee.com/whzzone/wonder-web

后端 https://gitee.com/whzzone/wonder-server

这是一个基础的RBAC权限管理系统

优点:传统的5种权限:全部数据权限、本部门数据权限、本部门及下属部门数据、仅本人数据、自定义数据权限,其实再怎么自定义也是针对人和部门的纬度来说的,如果需求是:角色A只能订单表的销售数量>=100的订单,角色B只能订单表的销售数量<100的订单,恐怕实现不了。本项目针对这种需求就设计得更灵活了一点,仅需要针对不同的接口可视化添加一些配置即可以针对数据库表不同字段来控制数据权限。

缺点:如果是控制比较复杂的查询,需要在项目代码中预先写好相关的方法来提供使用。执行时间慢那么一点,但也只是对有限制的接口来说,还是可以接受的。

当前数据权限思路

  1. 注解使用在方法上: 执行SQL前进行拦截,查询该账号拥有的角色List,是否关联有的数据规则,解析拼接SQL。没有关联则返回无数据。 
    @DataScope("order-list")
@Override
public List<OrderDto> list(OrderQuery query) {
    LambdaQueryWrapper<Order> queryWrapper = new LambdaQueryWrapper<>();
    queryWrapper.eq(StrUtil.isNotBlank(query.getReceiverName()), Order::getReceiverName, query.getReceiverName());
    ...
    List<Order> list = list(queryWrapper);
    return afterQueryHandler(list);
}
  2. 注解使用在形参上:AOP解析权限赋值到形参上,开发者自行处理。(适用于Mapper接口的形参,在xml中拼接) 
    @Override
public List<OrderDto> list(OrderQuery query, @DataScope("order-list") DataScopeInfo dataScopeInfo) {
    QueryWrapper<Order> queryWrapper = new QueryWrapper<>();
    // 或者自行处理
    CommonUtil.handleQueryWrapper(queryWrapper, dataScopeInfo);
    queryWrapper.eq(StrUtil.isNotBlank(query.getReceiverName()), "receiver_name", query.getReceiverName());
    ...
    List<Order> list = list(queryWrapper);
    return afterQueryHandler(list);
}
  3. 提供service方法:由开发者根据方法返回值自行处理。(可传递到xml中拼接) 
    // 这样比方法2多出注入一步
@Autowired
private MarkService dataScopeService;

@Override
public List<OrderDto> list(OrderQuery query) {

    DataScopeInfo dataScopeInfo = dataScopeService.execRuleByName("order-list");
    
    QueryWrapper<Order> queryWrapper = new QueryWrapper<>();
    // 或者自行处理
    CommonUtil.handleQueryWrapper(queryWrapper, dataScopeInfo);
    queryWrapper.eq(StrUtil.isNotBlank(query.getReceiverName()), "receiver_name", query.getReceiverName());
    ...
    List<Order> list = list(queryWrapper);
    return afterQueryHandler(list);
}

问题

  1. 拥有多个角色的时候,怎么知道该取哪条规则?

    • 方案一: 角色表(也可以认为是用户组)增加一个优先级字段,每个用户拥有的角色中,最大的优先级只能同时有一个。取规则的时候就取优先级最大的角色关联的规则去处理即可。
    • 方案二:角色设计成父子继承关系(类似于RBAC1模型),父角色拥有子角色所有的权限,也就是用户所拥有的角色中优先级最大的就是最上层角色,取规则的时候就取最上层角色关联的规则去处理即可。
    • 方案三:目前使用。通过前端切换角色同时前端在无需重新登录的下根据所选的角色来重新生成新的菜单和路由,请求时header传递所选角色id,部门同理 img.png 2. 怎么知道规则中的字段对应的是哪张表,通用字段可还行,比如idupdate_bycreate_byupdate_timecreate_time等每个表都会存在的字段。但是如果遇到某些每个表特有字段例如订单表有number、汽车表有color字段时,怎么处理? - 方案一:在@DataScope注解中新增一个字段tableName,用来标识该条规则作用于哪个表,为空就是作用于所有表。例如@DataScope(value="sn1", tableName="order")将作用于order表。(这样的话,sn1的存在是不是多余了,直接查询用户优先级最高的角色有没有关联order这张表的规则限制。)

  2. 如果想限制同一张表的多个字段怎么办?比如某条规则限制order表查询付款金额大于100元 && 已经完成的订单时怎么办?

    • 方案一:优先考虑提供类型为的情况是否满足当前需求。如需要限制两个及以上字段时,使用提供类型为方法来处理,此时配置记录中字段column_nameid,配置对应的无参或有参方法,返回idListIN,就能满足。例如问题中可一执行一个方法返回 付款金额大于100元 && 已经完成的订单 的idListorder表拼接id IN( idList ) 就能满足

接下来的需求

  • column_name可以设计成分号隔开的类型,同时新增一个连接条件

    id column_name column_splice_type value expression 其他属性不变
    number;color AND;OR 100;黑色 GE;EQ

    这条记录代表着需要拼接SQL语句:xxx AND number >= 100 OR color = '黑色'

  1. 系统字典
  2. 系统日志
  3. 接口访问频率限制

Bug && Todo

  1. 仅当update菜单时报错:java.lang.NoSuchFieldException: id,其他接口为出现此情况
  2. 在菜单页面编辑后,如何局部刷新,现在是整个页面刷新,影响体验
  3. 新增菜单是按钮时,后端在处理时设置inFrame = true,因为按钮也可以表示打开一个新的tab页,(是不是一定是框架内打开,待考虑)
  4. 代码生成,包括controllerservicemapper...
  5. EntityQuery查询时,怎么知道某个字段的匹配方法是什么? eq? like? ne? 方案1:自定义注解@Equal、@Like、@In,然后反射读取做对应处理
  6. 分页,列表查询,除了EntityQuery,还有另外一种方案:通过自定义注解@Query标记Dto对象中可以查询的字段,page接口、list接口读取这个注解就可以了
  7. between的值可以用特定符号分开 1,9。in同理
  8. 对于使用了@Query直接且expressionBETWEEN时的由运行时校验改成编译时校验,可提高执行速度。目前时运行时校验,其实只要在编译时校验一次够了。 
    @Query(column = "create_time", expression = ExpressionEnum.BETWEEN, left = true)
@ApiModelProperty("开始时间")
private Date startTime;

@Query(column = "create_time", expression = ExpressionEnum.BETWEEN, left = false)
@ApiModelProperty("结束时间")
private Date endTime;
MIT License Copyright (c) 2023 whz Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
Starred
0
Star
0
Fork
36

简介

一个有意思的权限管理系统 展开 收起
暂无标签
Java
MIT
使用 MIT 开源许可协议
取消

发行版

暂无发行版

贡献者

全部

近期动态

加载更多
不能加载更多了
Java
1
https://gitee.com/xi-zijin/wonder-server.git
git@gitee.com:xi-zijin/wonder-server.git
xi-zijin
wonder-server
wonder-server
master
点此查找更多帮助

搜索帮助

Git 命令在线学习 如何在 Gitee 导入 GitHub 仓库
Git 仓库基础操作
企业版和社区版功能对比
SSH 公钥设置
如何处理代码冲突
仓库体积过大,如何减小?
如何找回被删除的仓库数据
Gitee 产品配额说明
GitHub仓库快速导入Gitee及同步更新
什么是 Release(发行版)
将 PHP 项目自动发布到 packagist.org
评论
仓库举报
回到顶部