设计细节-----适配粒度权限设计-低调大师

设计细节-----适配粒度权限设计

2021-05-25 576

不积跬步无以至千里，在这里，总结一下自己最近的工作积累。

前言：CRM&OA类系统的设计负责度往往是在业务上，而业务上的复杂度，通常是由不同用户在不同业务场景下的各种可操作性决定的。就是说理清了系统用户在不同场景下的操作权限，业务脉络就很清晰了。

记录下，针对最近做的一套管理系统的权限设计方案，复杂性体现在下面的描述当中：

1.这里说的权限是指数据权限以及数据特权，并非菜单权限。

2.默认数据权限规则：

a.登录用户是普通员工，默认情况下（无数据特权）只能看到自己创建的数据，比如说，业务主任下挂接的经销商。

b.登录用户是管理人员，默认情况下（无数据特权）可以看到自己创建的数据，以及所管理部门和部门下子部门下（一直迭代到末端部门节点）所有员工创建的数据。

3.含数据特权

a.登录用户是普通员工，有数据特权，可以看到自己创建的数据以及数据特权部门下所有数据。

b.登录用户是管理人员，有数据特权，可以看到2-b所述的所有数据以及数据特权部门下所有数据。

4.数据特权的赋值最小单位根据业务要求设计为部门，也就是，为某个用户赋值一组数据特权，可以理解为为该用户赋予查询特权部门下的所有数据

5.非部门组织机构内部人员权限的限定（组织机构外人员不含数据特权）

a.业务要求，组织机构之外，还有两种角色需要参与到业务处理过程当中，属地化业务员：规定可以操作所属经销商下的所有数据

b.经销商：可以操作该用户所有数据

实现思路：

设计严格遵守开闭原则，在需要授权的地方，过滤权限。代码入口为

--UserUtils.screeningAndProcessingEn(param);
例子部分代码如下：

public JSONObject getPageList(Map param) throws Exception {
		param.put("search_type", "1");
		UserUtils.screeningAndProcessingEn(param);
		.................
		BeanUtils.populate(dto, param);
		................
		 try{
			getTimeRange(kjTerminalNode);
			lists = KjTerminalNodeService.appOauthFindList( kjTerminalNode);
	        ...................
		return  json;
	}

@SuppressWarnings("unchecked")
	public static void screeningAndProcessingEn(Map params) throws Exception {
		// TODO Auto-generated method stub
		List<String> users  = new ArrayList<String>();
		Map<String, String> role = getRole(params);
		if (Tools.str(role.get("roleName"), "").indexOf("属地业务员") >= 0) {
			users.add(Tools.str(role.get("id"), ""));
			params.put("dealerList", kjDealerCoverMapper.getDealerBySd(users));
		} else if (Tools.str(role.get("roleName"), "").indexOf("经销商") >= 0) {
			List<String> list = new ArrayList<>();
			list.add(Tools.str(role.get("id"), ""));
			params.put("dealerList",list);
		}else {
			UserUtils.setUserAndOffice(params);
			/*users.addAll(dto.getUserList());
			results.addAll(kjDealerCoverMapper.getDealerByBm(users));*/
			//业务主任及以上，不通过经销商获取数据
		}
		if (Tools.str(params.get("search_type"), "").equals("1")) {
			UserUtils.searchProcessing(params);
		}else if (Tools.str(params.get("search_type"), "").equals("2")) {
			UserUtils.searchProcessing2(params);
		}
	}

@SuppressWarnings("unchecked")
	public static void setUserAndOffice(Map params){
		//数据权限
		User user =  UserUtils.getByLoginName((String)params.get("loginName"));
		/*AuthorityResponse<Office> offices = officeService.getAutorOfficeEh(user.getId());
		if(null != offices.getResults() && offices.getResults().size() > 0) {
			List<String> list = new ArrayList<>();
			for (Office item : offices.getResults()) {
				list.add(item.getId());
			}
			params.put("officeList", list);
		}*/
		//不再使用获取部门，获取部门封装到sql层直接调用
		String offices = userMapper.getOfficeString(user);
		if (StringUtils.isNotBlank(offices)) {
			params.put("officeList", Tools.asList(Tools.str(offices, "").split("[|]")));
			LOGGER.debug("==============当前登录者可以查看部门="+JSONArray.fromObject(Tools.asList(offices.split("[|]"))).toString());
		}else {
			LOGGER.debug("==============当前登录者没有可以查看部门");
			params.put("officeList",new ArrayList<>());
		}
		List<String> list2 = new ArrayList<>();
		list2.add(user.getId());
		params.put("userList", list2);
      	LOGGER.debug("当前登录者可以查看科室="+params.get("officeList")+"==============当前登录者可以查看用户="+params.get("userList"));
		//searchProcessing(params);
	}

-->screeningAndProcessingEn的具体实现细节

-->setUserAndOffice(params);

-->userMapper.getOfficeString(user);

-->getAutorOfficeEh(user.getId());

      -->searchProcessing(params);

权限过滤采用约定好的封装数据格式，然后层层装配数据，生成相应的查询sql，在dao层实现数据的统一过滤，和业务完全解耦，只需要在业务开始前，执行screeningAndProcessingEn（）方法即可完成对权限的过滤，或者是在方法上标上@PerminssionFilter注解即可。根据自定义annotation结合aspect的前置通知实现，提供了对权限过滤的注解支持。

setUserAndOffice根据约定好的数据格式，封装好该登录用户可以查看的部门，具体实现是userMapper.getOfficeString(user)和getAutorOfficeEh(user.getId());两种方式。userMapper.getOfficeString(user)的设计是基于mysql函数（写了一个根据用户id，根据一定规则获取部门的函数），设计他是因为最早的方案getAutorOfficeEh(user.getId());是在代码层面根据权限规则递归获取部门等信息，经过测试，发现响应比较慢，一条设计到过滤权限的查询，有时需要3S才能响应。

给出getAutorOfficeEh(user.getId())的代码实现：

public AuthorityResponse<Office> getAutorOfficeEh(String userId,Boolean onlyDownLevel,Boolean size ){
		List<Office> results = Lists.newArrayList();  
		//List<Office> results  = new ArrayList<Office>();
		AuthorityResponse<Office> response = new AuthorityResponse<Office>();
		User user = UserUtils.get(userId);
	 	String roleType="";
   		//get current user roles
      	List<Role> roleList = Lists.newArrayList();
      	roleList = user.getRoleList();
      	if (roleList.size()>0) {
			//handle the role type
      		roleType = getHignRoleType(roleList);
		}
      	//这里混入数据特权 since 2018-5-2
      	String	officeIds = user.getOfficeIds();
		if (officeIds!=null && ! "".equals(officeIds)) {// has privilege
			/************************
			 * step 3 the type of user role is manager
			 ********************/
			if (roleType.equals(RularUtils.MANAGE_TYPE)) {
				// handle the situation 1 has privilege and the type of user role is manager
				//封装数据特权部门
				if (onlyDownLevel) {
					handleAuthorityOffice(officeIds,results);
				}else {
					handleAuthorityOffice1(officeIds,results);
				}
				//封装本身管辖部门
				Office office = user.getOffice();
				if (onlyDownLevel) {
					if (office != null) {
						ergodicUni(results, office);
					}
				}else {
					if (office != null) {
						ergodicUni1(results, office);
					}
				}
				response.setStatus(0);
				response.setMsg("角色为管理人员，并且有数据特权，部门查询成功");
				response.setResults(results);
			} else {
				/**********************************
				 * step 4 the type of user role is staff
				 *******/
				// handle the situation 2 has privilege and the type of user role is staff
				//封装数据特权部门
				if (onlyDownLevel) {
					handleAuthorityOffice(officeIds,results);
				}else {
					handleAuthorityOffice1(officeIds,results);
				}
				response.setStatus(0);
				response.setMsg("角色为普通人员，并且有数据特权，部门查询成功");
				response.setResults(results);
			}
		} else {// do not has privilege
			/**********************************
			 * step 5 the type of user role is manager
			 *******/
			if (roleType.equals(RularUtils.MANAGE_TYPE)) {
				// handle the situation 3 has't privilege and the type of user role is manager
				Office office = user.getOffice();
				if (onlyDownLevel) {
					if (office != null) {
						ergodicUni(results, office);
					}
				}else {
					if (office != null) {
						ergodicUni1(results, office);
					}
				}
				response.setStatus(0);
				response.setMsg("角色为管理人员，没有数据特权，部门查询成功");
				response.setResults(results);
			
			} else {
				// handle the situation 4 has't privilege and the type of user role is staff
				if (size) {
					results.add(user.getOffice());
				}
				response.setStatus(0);
				response.setResults(results);
				response.setMsg("当前用户为普通员工且没有数据特权");
			}
		}
		// 这里混入数据特权 end
		return response;
	}

此方法是权限过滤的核心，是文章开始权限详细说明的代码实现。

searchProcessing(params)权限过滤的最后一步，封装高级查询参数。

最终，过滤权限代码在mapper中生效，通过mybatis动态的生成响应的sql去执行。这个过程是需要约定的

......<where>
		 a.status = '1' and (1 = 2
			<if test="officeList != null  and officeList.size() > 0  ">
					<foreach item="item" index="index" collection="officeList">
						or v.parent_ids like CONCAT(#{item}, '%')
					</foreach>
			</if>
			<if test="userList != null  and userList.size() > 0  ">
					<foreach item="item" index="index" collection="userList" >
						or v.businessMaster_id = #{item}
					</foreach>
			</if><if test="dealerList != null  and dealerList.size() > 0  ">
					<foreach item="item" index="index" collection="dealerList">
						or v.id = #{item}
					</foreach>
			</if>
			)
			<if test="id != null  and id != '' ">
				AND a.id = #{id}
			</if>
			<if test="searchOfficeParams != null   and searchOfficeParams.size() > 0  ">
				<foreach item="item" index="index" collection="searchOfficeParams">
						and v.parent_ids like CONCAT(#{item}, '%')
					</foreach>
			</if>
			<if test="searchRegionParams != null  and searchRegionParams.size() > 0  ">
				<foreach item="item" index="index" collection="searchRegionParams">
						and kr.idpath like CONCAT(#{item}, '%')
				</foreach>
			</if>

在此做个总结。

微信关注我们

原文链接：https://blog.51cto.com/u_12270378/2812325

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

【5.17-5.23】上周精彩回顾

优秀文章推荐 1、haproxy 常用轮询算法及日常配置2、YUM安装Zabbix5.4启动失败usmAES192 3、ubantu与CentOS虚拟机之间搭建GRE隧道4、Linux之防火墙服务和rpm管理及光盘挂载5、Linux主机lv操作篇-创建分区 6、Jenkins 集成k8s 运行Jenkins slave7、k8s部署+dashboard+prometheus+Grafana 8、使用Git分布式版本控制系统9、实时同步部署(inotify,sersync) 10、ELK获取nginx日志专题推荐 1、ansible常用模块2、Kubernetes - 是什么？有什么作用？3、白话运维监控系统4、Kotlin修炼指南5、微服务架构6、深入理解synchronized关键字原理7、iOS逆向之代码注入！8、iOS开发逆向之应用重签名9、吴恩达机器学习10、BS结构RFID读写器web插件开发11、玩转直播系列之RTMP协议和源码解析12、Linux系统编程活动及优化 1、【520有奖征文】活动已结束！单身狗粮已吃饱~ 520优秀文章推荐：程序员的520（独特UI特效，...

2021-05-25

576

前言 Kubernetes的教程一直在编写，目前已经初步完成了以下内容： 1）基础理论 2）使用Minikube部署本地Kubernetes集群 3）使用Kubeadm创建集群接下来还会逐步完善本教程，比如Helm、ELK、Windows Server容器等等。目录 Kubernetes主体架构 1.1.主要核心组件 1.1.1. Master组件 1.1.2. 节点（Node）组件 1.1.3. 插件 1.2. 基本概念 1.2.1. 容器组（Pod） 1.2.2. 服务（Service） 1.2.3. 卷（Volume） 1.2.4. 标签（Labels）和标签选择器（Label Selector） 1.2.5. 复制控制器（Replication Controller，RC） 1.2.6. 副本集控制器（Replica Set，RS） 1.2.7. 部署控制器(Deployment) 1.2.8. StatefulSet 1.2.9. 后台支撑服务集（DaemonSet） 1.2.10. 一次性任务（Job） Kubernetes主体架构 k8s的整体架构如下图...

2021-05-25

472

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。