列表数据权限用法 === **目录索引:** - 功能说明 - 数据权限两种编码模式 - 数据权限规则篇 1. 当前用户上下文变量 2. 建表规范(系统标准字段) 3. 组织机构邮编规则 - 案例一(行级别 – 限制demo用户不能看admin的数据) - 案例二(行级权限 - 登录人只能看自己数据) - 案例三(行级权限 - 登录人可看下级所有人数据) - 案例四(列级别权限 – 不同的人看到数据列表不同的列) - 采用Minidao方式权限集成 1. 权限配置规则 2. 权限生成SQL规则获取方法 # JEECG 数据权限用法 ## 一、功能说明 列表数据权限,主要通过数据权限控制行数据,让不同的角色有不同的访问规则; 比如: 销售人员只能看自己的数据;销售经理可以看所有下级销售人员的数据;财务只看金额大于5000的数据等等; ## 二、数据权限两种编码模式 ### 数据权限控制分两种模式(根据编码风格) **模式一:** 列表查询采用hibernate方式编码,hibernate实体,查询采用Jeecg的查询过滤器。 **实现原理:**数据权限规则,是通过查询过滤器注入的,JEECG讲数据权限规则以Hiberate方式注入到查询条件中;该方式比较简单,不需要额外编码,直接权限配置即可; **模式二:** 列表查询采用minidao方式(纯sql)编码,此方式比较复杂需要专题介绍 **实现原理:**Jeecg会将数据权限规则,组织成纯sql片段,放在request线程中,需要开发者,手工编码注入查询逻辑中,此模式复杂会有专题讲解。 ``` 规则字段配置说明(非常重要): 模式一:[规则字段]对应着hibernate实体的字段,一般是驼峰写法 模式二:[规则字段]对应着数据库表的字段,一般是带下划线 ③条件规则:大于/大于等于/小于/小于等于/等于/包含/模糊/不等于 ④规则值:指定值 ( 固定值/系统上下文变量 ) ``` ## 三、数据权限规则篇 ### 1.当前用户上下文变量 注意:数据权限配置,规则值可以填写系统上下文变量(当前登录人信息),从而根据当前登录人信息进行权限控制。 | 编码| 描述 | | -------- | ----- | | sys_user_code| 当前登录用户登录账号| | sys_user_name| 当前登录用户真实名称| | sys_date| 当前系统日期| | sys_time| 当前系统时间| | sys_company_code| 当前登录用户公司编号| | sys_org_code| 当前登录用户部门编号| 规则值,配置写法如下:#{sys_user_code} ### 2.建表规范(系统标准字段) 如果需要通过当前登录人,进行数据权限控制,则业务表必须有以下系统标准字段;数据添加和编辑,jeecg会通过拦截器自动注入操作人的信息。 比如:创建人,创建时间,创建人所属部门、创建人所属公司,有了这些标准字段,就可以通过当前登录人进行数据隔离控制; | 字段英文名| 字段中文名| | -------- | ----- | ---- | | CREATE_BY| 系统用户登录账号| | CREATE_NAME| 系统用户真实名字| | SYS_ORG_CODE| 登录用户所属部门| | SYS_COMPANY_CODE| 登录用户所属公司| ### 3.组织机构邮编规则 JEECG组织机构支持无线层级,上下级关系通过组织机构编码实现,组织机构编码规则类似邮编方式,看下图; 邮编规则优势: 邮编规则,上下级编码固定规律,便于定位下级和上级; ![输入图片说明](https://static.oschina.net/uploads/img/201804/16113903_qZFJ.png "在这里输入图片标题") ## 四、案例一(行级别 – 限制demo用户不能看admin的数据) ### 1.数据权限案例 通过权限控制,限制demo角色用户,无法查看用户列表中admin这条数据。 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16113940_I2Ul.png "在这里输入图片标题") ### 2.数据权限菜单配置 创建数据权限类型菜单(注意:列表访问链接和数据请求链接不是一个,此为加载数据请求) 注意: 这里很容易配置错误,一定注意 用户数据请求地址:userController.do?datagrid ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114018_b303.png "在这里输入图片标题") ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114042_LL87.png "在这里输入图片标题") ### 3.数据权限控制规则配置 **配置1、条件规则为非自定义sql表达式** ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114109_BrQO.png "在这里输入图片标题") 填写说明: ①规则名称:随意定义 ②规则字段:[字段名称] **注意: 模式一:[字段名称]对应着hibernate实体的字段 模式二:[字段名称]对应着数据库表的字段** ③条件规则:大于/大于等于/小于/小于等于/等于/包含/模糊/不等于 ④规则值:指定值 ( 固定值/系统上下文变量 ) **例如:** 规则名称:用户数据限制 规则字段:userName 条件规则:不等于 规则值:admin 以上表单权限规则表示将动态追加sql条件: userName !=‘admin’的条件,即按照用户账号!=admin进行了数据权限控制。 **配置2、条件规则为自定义sql表达式,规则值为自定义sql的条件语句** **例如:** 要想筛选年龄小于18岁且身高大于180的数据即直接配置规则值为: age < 18 and height >180 其中age和height均为数据库表字段名 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114209_k5eB.png "在这里输入图片标题") ### 4.数据权限授权角色 ①菜单访问授权 用户管理菜单; ②数据权限授权 用户列表数据数据菜单,数据规则权限授权; ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114243_WXRR.png "在这里输入图片标题") ### 5.测试数据权限效果 采用demo用户(授权demo角色)登录系统,访问用户列表, 效果如下,看不到admin用户数据,说明权限生效 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114316_SyCn.png "在这里输入图片标题") ## 五、案例二(行级权限 - 登录人只能看自己数据) ### 1.数据权限案例 通过登录人账号,进行数据权限过滤,限制销售人员只能看自己的业务数据。 通过admin查看“列表标签”功能如下(数据提前准备,分别采用demo、scott两个用户创建) ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114350_JKVL.png "在这里输入图片标题") ### 2.数据权限规则配置 控制请求: jeecgListDemoController.do?datagrid ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114418_1Zny.png "在这里输入图片标题") ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114439_9kFP.png "在这里输入图片标题") ### 3.数据权限授权角色 ①菜单访问权限 列表标签菜单; ②数据权限菜单 Jeecg demo数据权限列表,数据权限规则授权; ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114506_YMrv.png "在这里输入图片标题") ### 4.测试数据权限效果 采用demo用户(授权demo角色)登录系统,查看菜单【常用实例-列表标签】功能,只能看到自己的数据,说明权限生效。 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114535_l2TP.png "在这里输入图片标题") ## 六、案例三(行级权限 - 登录人可看下级所有人数据) ### 1.数据权限案例 创建三个用户scott、lisi、demo,设置demo、scott为销售人员岗位,设置lisi为销售经理属于demo和scott上级,通过权限配置lisi可看下级和自己的业务数据; 采用admin用户,查看“列表标签”菜单,可以看所有用户数据 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114629_ihvv.png "在这里输入图片标题") ### 2.数据规则配置原理 通过登录人所属部门,进行数据权限配置,查询业务数据通过{创建部门编码}字段,与{当前登录人部门编码}进行模糊匹配; 例如:当前登录人所属部门编码:A01A02 因为JEECG设计组织机构编码都是按照邮编方式组织上下级。 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16114701_QhHK.png "在这里输入图片标题") 他的下级部门可以用SQL这样表示: sysOrgCode like ‘A01A02%’ ### 3.基础数据准备 ①用户分配组织机构 针对demo、scott用户分配销售人员岗位,针对lisi用户分配销售经理岗位 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115030_wuCd.png "在这里输入图片标题") ②组织机构规则如下,lisi为demo、scott上级。 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115041_FFO5.png "在这里输入图片标题") ③录入业务数据 使用scott、demo两个用户录入数据 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115057_gFCl.png "在这里输入图片标题") ### 4.数据权限规则配置 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115129_gWcJ.png "在这里输入图片标题") ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115142_n9j7.png "在这里输入图片标题") 说明:通过模糊规则,类似 like ‘{当前登录人组织机构}%’ ### 5.数据权限授权角色 设置lisi用户为经理角色,对角色分配数据权限 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115207_QQGe.png "在这里输入图片标题") ### 6.测试数据权限效果 通过lisi用户登录后台,查看“列表标签”功能,发现可以看到scott、demo用户录入的数据,说明数据权限生效。 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115224_j82w.png "在这里输入图片标题") ## 七、案例四 (列级别权限 – 不同的人看到数据列表不同的列) ### 1.功能说明 列级别权限,主要针对数据列字段进行权限控制,从而实现不同角色可以有不同列字段查看权限; ### 2.列级别权限案例 通过列数据权限,限制demo角色,不能查看列字段[电话] 通过admin用户查看“标签列表”功能,界面如下: ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115245_TmCW.png "在这里输入图片标题") ### 3.列表页面编码规则 设置标签参数field,对应页面控制编码; ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115301_rVDo.png "在这里输入图片标题") ### 4.列表行权限控件配置 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115316_hDyM.png "在这里输入图片标题") ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115326_x1In.png "在这里输入图片标题") ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115354_dJSo.png "在这里输入图片标题") 工资查看权限录入同之 ### 5.列表行数据权限授权角色 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115409_ZuUy.png "在这里输入图片标题") ### 6.测试列表行数据权限效果 采用demo用户(授权demo角色)登录系统,访问“标签列表”, 效果如下,已经看不到手机号字段,说明列表级权限控制成功。 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115420_giXK.png "在这里输入图片标题") ## 八、采用Minidao方式权限集成 ### 1.权限配置规则 说明:SQL方式数据权限规则一般采用Minidao实现数据操作,当然也可以是其他纯SQL方式,配置对应数据库表的字段,非实体字段 ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115440_Ias7.png "在这里输入图片标题") ### 2.权限生成SQL规则获取方法 通过工具类org.jeecgframework.core.util.JeecgDataAutorUtils ![输入图片说明](https://static.oschina.net/uploads/img/201804/16115457_zwAE.png "在这里输入图片标题") 通过方法:JeecgDataAutorUtils.loadDataSearchConditonSQLString(),可以直接获取配置的权限对应的sql规则。