结合(Spring Security + MyBatis-Plus)以及数据中台的通用架构,梳理了一套完整的权限设计方案,包含架构分层、核心设计以及时序交互流程。
🏗️ 一、 整体架构设计
在数据中台中,权限体系通常分为三个维度,你提到的这三者各司其职:
- 功能权限 (Spring Security):控制“你能看什么页面、点什么按钮”。基于 RBAC(基于角色的访问控制)模型,通过菜单和按钮权限控制前端界面的可见性。
- 项目权限 (MyBatis-Plus):控制“你能进哪个项目”。数据中台通常涉及多项目隔离,通过拦截 SQL,在查询项目相关数据时自动注入
project_id = X的过滤条件。 - 数据权限 (MyBatis-Plus):控制“你能看项目里的哪些数据行/列”。即行级权限(如:仅看本部门数据)和列级权限(如:薪资字段对普通员工不可见)。
⚙️ 二、 核心实现方案
1. 功能权限:基于 Spring Security
- 实现方式:使用 Spring Security 的
@PreAuthorize注解配合 SpEL(Spring Expression Language)。 - 原理:
- 用户登录时,
UserDetailsService从数据库加载用户的角色和权限列表(如project:admin,data:query)。 - 在 Controller 或 Service 方法上使用注解,例如
@PreAuthorize("hasAuthority('DATA_QUERY')")。 - 对于项目级别的入口控制,可以结合路径变量,例如
@PreAuthorize("#projectId == authentication.projectId")来校验用户是否有权访问该特定项目。
- 用户登录时,
2. 项目权限 & 数据权限:基于 MyBatis-Plus 拦截器
- 实现方式:利用 MyBatis-Plus 的
DataPermissionInterceptor或自定义InnerInterceptor。 - 原理:
- 拦截 SQL:在 SQL 执行前(
beforeQuery),拦截所有的SELECT语句。 - 解析注解:检查 Mapper 或 Service 方法上是否有自定义的权限注解(如
@DataScope)。 - 动态拼接:
- 项目权限:根据当前登录用户上下文中的
currentProjectId,自动拼接AND project_id = ?。 - 数据权限:根据用户的角色(如部门经理、普通员工),拼接不同的 WHERE 条件,例如
AND dept_id IN (1,2)。
- 项目权限:根据当前登录用户上下文中的
- 拦截 SQL:在 SQL 执行前(
⏱️ 三、 请求完整的时序交互
这是一个用户发起数据查询请求(例如:查询某项目下的销售报表)的完整时序图解:
👤 1. 认证与功能鉴权阶段
- 用户请求:用户携带 Token(如 JWT)访问数据中台的查询接口
/api/report/sales?projectId=100。 - JWT 过滤器:
JwtAuthenticationTokenFilter拦截请求,解析 Token,将用户信息(包含用户ID、角色列表、权限字符串)存入SecurityContextHolder。 - Spring Security 鉴权:
- 框架检查该接口所需的权限(例如
REPORT_VIEW)。 - 对比当前用户拥有的权限。
- 结果:如果用户没有功能权限,直接返回 403 Forbidden,请求结束;如果有权限,进入业务逻辑层。
- 框架检查该接口所需的权限(例如
🔍 2. 项目与数据权限处理阶段
- 业务逻辑处理:Controller 调用 Service 层方法。
- 注解识别:假设 Service 方法上标注了
@DataScope(deptAlias = "d", projectAlias = "p")。 - MyBatis-Plus 拦截:
DataPermissionInterceptor拦截到即将执行的 SQL 查询。- 获取上下文:从 ThreadLocal 或 SecurityContext 中获取当前用户对象。
- 生成过滤片段:
- 项目权限:检查用户是否属于项目 100,生成
p.id = 100。 - 数据权限:检查用户角色(如“华东区经理”),生成
d.region = 'EastChina'。
- 项目权限:检查用户是否属于项目 100,生成
- SQL 改写:拦截器将原始 SQL:
SELECT * FROM sales s JOIN dept d ON s.dept_id = d.id
动态改写为:SELECT * FROM sales s JOIN dept d ON s.dept_id = d.id WHERE p.id = 100 AND d.region = 'EastChina'。
📊 3. 数据执行与返回
- 数据库执行:改写后的 SQL 发送到数据库执行。
- 结果返回:数据库返回过滤后的数据集给用户。
📊 四、 权限类型与技术实现对照表
| 权限类型 | 控制粒度 | 核心技术 | 实现机制 | 典型场景 |
|---|---|---|---|---|
| 功能权限 | 菜单/按钮/API | Spring Security | @PreAuthorize注解 + 角色权限匹配 | 普通用户看不到“系统管理”菜单 |
| 项目权限 | 项目/工作空间 | MyBatis-Plus 拦截器 | SQL 拦截 +project_id自动注入 | 用户 A 只能看到项目 A 的数据,看不到项目 B |
| 数据权限 | 数据行/列 | MyBatis-Plus 拦截器 | SQL 拦截 + 动态 WHERE 条件拼接 | 销售员只能看自己的订单,经理看全组订单 |
💡 五、 关键代码逻辑示意
1. MyBatis-Plus 拦截器核心逻辑
// 实现 InnerInterceptor 接口 public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) { // 1. 获取当前用户信息 LoginUser user = SecurityUtils.getLoginUser(); // 2. 判断是否需要数据权限(排除管理员) if (user.isAdmin()) return; // 3. 获取注解配置的表别名 String deptAlias = getDataScopeAlias(ms, "dept"); String projectAlias = getDataScopeAlias(ms, "project"); // 4. 拼接 SQL 片段 StringBuilder sqlFilter = new StringBuilder(); // 项目权限:限制只能看自己加入的项目 sqlFilter.append(projectAlias).append(".id IN (").append(user.getProjectIds()).append(") "); // 数据权限:根据角色限制数据范围 (例如:仅本人、本部门) if ("dept".equals(user.getRole().getDataScopeType())) { sqlFilter.append(" OR ").append(deptAlias).append(".id = ").append(user.getDeptId()); } // 5. 将拼接好的 SQL 条件注入到查询参数中 // MyBatis-Plus 会自动将这个条件合并到原生 SQL 的 WHERE 后面 injectFilterToParameter(parameter, sqlFilter.toString()); }2. Service 层使用注解
@Service public class ReportService { // dataScope 注解指定了部门表别名和项目表别名 @DataScope(deptAlias = "d", projectAlias = "p") public List<SalesReport> getReports(Long projectId) { // 这里写正常的业务查询,无需手动写 project_id 和 dept_id 的过滤 // 拦截器会自动帮你加上 return salesMapper.selectReports(projectId); } }📌 六、 总结建议
这套方案的优势在于解耦和透明:
- 开发友好:业务开发人员在写 Mapper 时,只需要关注业务逻辑 SQL,不需要在每个 SQL 里都手写
WHERE project_id = ?,由拦截器统一处理。 - 安全统一:Spring Security 负责大门(功能)的钥匙,MyBatis-Plus 负责数据库(数据)的过滤网,两者结合能有效防止越权访问。
在实际落地时,先搭建好用户-角色-权限的管理后台,确保管理员可以灵活配置某个角色是“本部门数据”还是“全部数据”,并将这些配置存储在数据库中,供拦截器读取。
这玩意儿玩起来挺有意思的。今天咱们就拆开它的内核看看,特别是怎么从传递函数推导到PID等效。先来段MATLAB代码热热身)
