用的方案其实就是“若依”那套思路,不过自己做了点裁剪,核心就四步——注解标识、AOP 拦截、SQL 拼接、MyBatis 消费。下面按执行顺序捋一遍:
打标记
在需要控制权限的 Mapper 方法上贴一个自定义注解@DataScope,里面两个值:@DataScope(deptAlias="d",userAlias="u")List<Xxx>selectList(Xxxparam);这样一眼就能看出“这个方法要走数据权限”。
AOP 切面
专门写了一个DataScopeAspect,进入方法之前先跑:- 清理 ThreadLocal,防止线程复用串数据;
- 从 Spring Security 上下文里拿当前登录用户,包括他的角色、部门 ID、用户 ID;
- 如果是超级管理员,直接放行;否则根据角色提前配置好的“数据范围”枚举拼 SQL 片段,比如“本部门及以下”就用
find_in_set(ancestors),“仅本人”就create_by = #{userId}。
把条件塞进实体
所有实体都继承BaseEntity,里面有个临时字段dataScope。切面通过反射把第 2 步拼好的 SQL 片段塞进去,再往下传。MyBatis 消费
XML 里统一加一句:<iftest="dataScope != null and dataScope !=''">${dataScope}</if>真正发到数据库的 SQL 就带上了权限过滤条件,返回的数据自然就是当前用户能看的那部分。
亮点补充
- 对业务代码零侵入,只在 Mapper 层加注解,Service 层无感知。
- SQL 片段统一维护,换需求只改枚举,不动业务。
- 线程级 ThreadLocal + 用完即清理,没有内存泄漏风险。
- 后面做 SaaS 多租户时,把“租户 ID”字段也加进来,同一套切面直接复用。
一句话总结
“注解一贴,切面自动把‘部门/个人’范围拼成 SQL,MyBatis 尾巴一接,数据权限就生效,全程业务代码无感,改需求只改配置。”
