桥山之巅,姬水之畔

MySQL数据库字段级权限设计

2018.08.27

引言

一篇关于MySQL字段级权限设计的解决思路。单纯个人设计的,应该有很多不足,有不好的地方可以指出,或者有更好的想法可以评论,一起交流^-^文末附实现代码。

业务场景

在一个类似数据统计的系统中,由于统计的数据较多,就有较多的表,每个表有较多的字段,但是又不想让每个用户都看到全部的表或者表的全部字段,比如一些重要的统计数据,应该是只有管理员才能看到的。如,

IDnameday_amountweek_amountmonth_amount
1脑点子1,0007,00030,000

A用户只能看到name,day_amount 两个字段;B用户只能看到name,month_amount两个字段。

解决方案

方案一

  • 用户表、用户-表名-字段映射表 优点:实现简单 缺点:每个用户,每个表,每个字段都需单独设置,较为繁琐

方案二

  • 用户表、角色表、用户-角色映射表、角色-表名-字段映射表(优先级低)、用户-表名-字段映射表(优先级高) 优点:可通过角色实现批量设置权限;且也可对某个用户权限进行单独设置 缺点:权限局限于数据库单个表。

方案三

  • 用户表、角色表、用户-角色映射表、数据类型表、类型-表名-字段映射表(优先级低)、角色-类型映射表、用户-表名-字段映射表(优先级高) 优点:在方案二的基础上,可实现跨表的权限控制。 缺点:实现较为繁琐,要不要采用主要还是根据用户的需求

对外权限分配接口

  • 三种都按照表名作为一级节点,字段作为二级节点来分配权限。
  • 方案一只能按照单个用户来分配权限
  • 方案二按照角色/单个用户来分配
  • 方案三按照类型/单个用户来分配

存在的问题

  • 1.数据库结构变更时,与该表相关的所有权限都需要重新设置
  • 2.部分不在数据库的字段,如根据多列的值计算出来的属性字段的权限不好处理。
  • 3.只支持单张表的查询,不支持多表查询

部分解决思路

  • 问题2)的暂时的解决思路是:再单独建一张表——用户/角色/类型-JAVA类名-属性名映射表,再配合JSON序列化的属性过滤来实现权限控制。这种方式基本跟完全写死没什么区别,对后期的维护及扩展极不友好!
  • 问题3)的解决思路是:放弃掉SQL语句的连接查询,全部改成由代码控制

代码

最初是打算在Spring Aop的前置通知中通过修改目标方法参数来实现,但是通过源码发现封装目标方法参数的类是用final修饰的,所以后面换了种思路。

使用Spring的AbstractAutoProxyCreator自动代理实现,思路是通过条件判断决定是否要使用自动代理,要使用代理的话,就需要自己实现MethodInterceptor接口并重写其中invoke方法。

下面我贴出核心代码,文章最后会给出整个demo的链接

继承AbstractAutoProxyCreator类,重写getAdvicesAndAdvisorsForBean()方法

public class BeanTypeAutoProxyCreator extends AbstractAutoProxyCreator {

    @Override
    protected Object[] getAdvicesAndAdvisorsForBean(Class<?> beanClass, 
	    String beanName, TargetSource customTargetSource) throws BeansException {
        return isMatch(beanClass) ? PROXY_WITHOUT_ADDITIONAL_INTERCEPTORS : DO_NOT_PROXY;
    }

    /**
     * 判断是否是需要被代理的对象
     * @param clazz 代理对象的类型
     * @return
     */
    private boolean isMatch(Class<?> clazz) {
        //有两个Class类型的类象,一个是调用isAssignableFrom方法的类对象(后称对象a),
        // 以及方法中作为参数的这个类对象(称之为对象b),这两个对象如果满足以下条件则返回true,否则返回false:
        
        //a对象所对应类信息是b对象所对应的类信息的父类或者是父接口,简单理解即a是b的父类或接口
        //a对象所对应类信息与b对象所对应的类信息相同,简单理解即a和b为同一个类或同一个接口
        if (BaseMapper.class.isAssignableFrom(clazz)) {
            return true;
        }
        return false;

    }
}

实现MethodInterceptor接口,重写invoke()方法

public class MyMethodInterceptor implements MethodInterceptor {

    @Autowired
    private SysAccess sysAccess;

    @Override
    public Object invoke(MethodInvocation invocation) throws Throwable {

        // 权限封装类
        SysAccessCriteria result = null;
        int flag = -1;

        // 目标方法的参数
        Object[] args = invocation.getArguments();
        for (int i=0; i<args.length; i++) {
            // 只修改权限条件类型的参数
            if(args[i] instanceof SysAccessCriteria){
                SysAccessCriteria sysAccessCriteria = (SysAccessCriteria) args[i];
                result = sysAccess.getUserAceess(sysAccessCriteria);
                flag = i;
            }
        }
        // 修改目标参数
        if(flag >= 0 && result != null){
            args[flag] = result;
        }

        // 执行目标方法
        Object object = invocation.proceed();

        return object;
    }
}

配置到Spring配置文件中

<bean id="myMethodInterceptor" class="com.ysl.access.proxy.MyMethodInterceptor"></bean>
<!--配置自动代理-->
<bean id="myBeanTypeAutoProxyCreator" class="com.ysl.access.proxy.BeanTypeAutoProxyCreator">
	<!--父类属性-->
    <property name="interceptorNames">
        <list>
            <value>myMethodInterceptor</value>
        </list>
    </property>
</bean>

Demo完整代码(数据库文件在resources目录下):columns-accsss 单纯个人设计,应该有很多不足,有不好的地方可以指出,或者有更好的想法可以评论,一起交流。

参考: https://blog.csdn.net/lilongjiu/article/details/78047051