列表数据权限用法 === **目录索引：** - 功能说明 - 数据权限两种编码模式 - 数据权限规则篇 1. 当前用户上下文变量 2. 建表规范（系统标准字段） 3. 组织机构邮编规则 - 案例一（行级别 – 限制demo用户不能看admin的数据） - 案例二（行级权限 - 登录人只能看自己数据） - 案例三（行级权限 - 登录人可看下级所有人数据) - 案例四（列级别权限 – 不同的人看到数据列表不同的列） - 采用Minidao方式权限集成 1. 权限配置规则 2. 权限生成SQL规则获取方法 # JEECG 数据权限用法 ## 一、功能说明 列表数据权限，主要通过数据权限控制行数据，让不同的角色有不同的访问规则； 比如： 销售人员只能看自己的数据；销售经理可以看所有下级销售人员的数据；财务只看金额大于5000的数据等等； ## 二、数据权限两种编码模式 ### 数据权限控制分两种模式（根据编码风格） **模式一：** 列表查询采用hibernate方式编码，hibernate实体，查询采用Jeecg的查询过滤器。 **实现原理：**数据权限规则，是通过查询过滤器注入的，JEECG讲数据权限规则以Hiberate方式注入到查询条件中；该方式比较简单，不需要额外编码，直接权限配置即可； **模式二：** 列表查询采用minidao方式(纯sql)编码，此方式比较复杂需要专题介绍 **实现原理：**Jeecg会将数据权限规则，组织成纯sql片段，放在request线程中，需要开发者，手工编码注入查询逻辑中，此模式复杂会有专题讲解。 ``` 规则字段配置说明（非常重要）： 模式一：[规则字段]对应着hibernate实体的字段，一般是驼峰写法 模式二：[规则字段]对应着数据库表的字段，一般是带下划线 ③条件规则：大于/大于等于/小于/小于等于/等于/包含/模糊/不等于 ④规则值：指定值 ( 固定值/系统上下文变量 ) ``` ## 三、数据权限规则篇 ### 1.当前用户上下文变量 注意：数据权限配置，规则值可以填写系统上下文变量（当前登录人信息），从而根据当前登录人信息进行权限控制。 | 编码| 描述 | | -------- | ----- | | sys_user_code| 当前登录用户登录账号| | sys_user_name| 当前登录用户真实名称| | sys_date| 当前系统日期| | sys_time| 当前系统时间| | sys_company_code| 当前登录用户公司编号| | sys_org_code| 当前登录用户部门编号| 规则值，配置写法如下：#{sys_user_code} ### 2.建表规范（系统标准字段） 如果需要通过当前登录人，进行数据权限控制，则业务表必须有以下系统标准字段；数据添加和编辑，jeecg会通过拦截器自动注入操作人的信息。 比如：创建人，创建时间，创建人所属部门、创建人所属公司，有了这些标准字段，就可以通过当前登录人进行数据隔离控制； | 字段英文名| 字段中文名| | -------- | ----- | ---- | | CREATE_BY| 系统用户登录账号| | CREATE_NAME| 系统用户真实名字| | SYS_ORG_CODE| 登录用户所属部门| | SYS_COMPANY_CODE| 登录用户所属公司| ### 3.组织机构邮编规则 JEECG组织机构支持无线层级，上下级关系通过组织机构编码实现，组织机构编码规则类似邮编方式，看下图； 邮编规则优势： 邮编规则，上下级编码固定规律，便于定位下级和上级；  ## 四、案例一（行级别 – 限制demo用户不能看admin的数据） ### 1.数据权限案例 通过权限控制，限制demo角色用户，无法查看用户列表中admin这条数据。  ### 2.数据权限菜单配置 创建数据权限类型菜单（注意：列表访问链接和数据请求链接不是一个，此为加载数据请求） 注意： 这里很容易配置错误，一定注意 用户数据请求地址：userController.do?datagrid   ### 3.数据权限控制规则配置 **配置1、条件规则为非自定义sql表达式**  填写说明： ①规则名称：随意定义 ②规则字段：[字段名称] **注意： 模式一：[字段名称]对应着hibernate实体的字段 模式二：[字段名称]对应着数据库表的字段** ③条件规则：大于/大于等于/小于/小于等于/等于/包含/模糊/不等于 ④规则值：指定值 ( 固定值/系统上下文变量 ) **例如：** 规则名称：用户数据限制 规则字段：userName 条件规则：不等于 规则值：admin 以上表单权限规则表示将动态追加sql条件： userName !=‘admin’的条件，即按照用户账号!=admin进行了数据权限控制。 **配置2、条件规则为自定义sql表达式，规则值为自定义sql的条件语句** **例如：** 要想筛选年龄小于18岁且身高大于180的数据即直接配置规则值为： age < 18 and height >180 其中age和height均为数据库表字段名  ### 4.数据权限授权角色 ①菜单访问授权 用户管理菜单； ②数据权限授权 用户列表数据数据菜单，数据规则权限授权；  ### 5.测试数据权限效果 采用demo用户（授权demo角色）登录系统，访问用户列表， 效果如下，看不到admin用户数据，说明权限生效  ## 五、案例二（行级权限 - 登录人只能看自己数据） ### 1.数据权限案例 通过登录人账号，进行数据权限过滤，限制销售人员只能看自己的业务数据。 通过admin查看“列表标签”功能如下（数据提前准备，分别采用demo、scott两个用户创建）  ### 2.数据权限规则配置 控制请求： jeecgListDemoController.do?datagrid   ### 3.数据权限授权角色 ①菜单访问权限 列表标签菜单； ②数据权限菜单 Jeecg demo数据权限列表，数据权限规则授权；  ### 4.测试数据权限效果 采用demo用户（授权demo角色）登录系统，查看菜单【常用实例-列表标签】功能，只能看到自己的数据，说明权限生效。  ## 六、案例三（行级权限 - 登录人可看下级所有人数据） ### 1.数据权限案例 创建三个用户scott、lisi、demo，设置demo、scott为销售人员岗位，设置lisi为销售经理属于demo和scott上级，通过权限配置lisi可看下级和自己的业务数据； 采用admin用户，查看“列表标签”菜单，可以看所有用户数据  ### 2.数据规则配置原理 通过登录人所属部门，进行数据权限配置，查询业务数据通过{创建部门编码}字段，与{当前登录人部门编码}进行模糊匹配； 例如：当前登录人所属部门编码：A01A02 因为JEECG设计组织机构编码都是按照邮编方式组织上下级。  他的下级部门可以用SQL这样表示： sysOrgCode like ‘A01A02%’ ### 3.基础数据准备 ①用户分配组织机构 针对demo、scott用户分配销售人员岗位，针对lisi用户分配销售经理岗位  ②组织机构规则如下，lisi为demo、scott上级。  ③录入业务数据 使用scott、demo两个用户录入数据  ### 4.数据权限规则配置   说明：通过模糊规则，类似 like ‘{当前登录人组织机构}%’ ### 5.数据权限授权角色 设置lisi用户为经理角色，对角色分配数据权限  ### 6.测试数据权限效果 通过lisi用户登录后台，查看“列表标签”功能，发现可以看到scott、demo用户录入的数据，说明数据权限生效。  ## 七、案例四 （列级别权限 – 不同的人看到数据列表不同的列） ### 1.功能说明 列级别权限，主要针对数据列字段进行权限控制，从而实现不同角色可以有不同列字段查看权限； ### 2.列级别权限案例 通过列数据权限，限制demo角色，不能查看列字段[电话] 通过admin用户查看“标签列表”功能，界面如下：  ### 3.列表页面编码规则 设置标签参数field，对应页面控制编码；  ### 4.列表行权限控件配置    工资查看权限录入同之 ### 5.列表行数据权限授权角色  ### 6.测试列表行数据权限效果 采用demo用户（授权demo角色）登录系统，访问“标签列表”， 效果如下，已经看不到手机号字段，说明列表级权限控制成功。  ## 八、采用Minidao方式权限集成 ### 1.权限配置规则 说明：SQL方式数据权限规则一般采用Minidao实现数据操作，当然也可以是其他纯SQL方式，配置对应数据库表的字段，非实体字段  ### 2.权限生成SQL规则获取方法 通过工具类org.jeecgframework.core.util.JeecgDataAutorUtils  通过方法：JeecgDataAutorUtils.loadDataSearchConditonSQLString()，可以直接获取配置的权限对应的sql规则。