《玩转细粒度权限管理》 五，细粒度数据查询权限（下）

 

第五章

细粒度数据查询权限

（下）

 

 

上一章讲解通过设计器，设计出数据查询，并在线测试。本章讲解如何快速定制数据查询，如果将业务代码中的 if else 逻辑判断去掉，如何将这种细粒度的权限集成到业务系统。

 

快速定制数据查询

上章定制了“查询所有员工”数据查询。下面我们通过复制的方式快速定制“查询本分公司及下属营业部员工”和“查询本营业部员工”两个数据查询。

 

打开权限设计器   http://localhost:8080/mydemo/metadmin/designer

按照如下步骤操作，来定制“查询本分公司及下属营业部员工”数据查询：

1. 右击“查询所有员工”，选择弹出菜单中“复制”菜单项；
2. 在弹出的对话框中，名称栏输入“查询本分公司及下属营业部员工”，描述栏输入“分公司用户具有权限查看”，点击“确认”按钮；
3. 点击“查询本分公司及下属营业部员工”，选择“ WHERE ”标签页，修改 WHERE 条件；
4. 右击“条件组”，选择“新增条件组”；
5. 修改该条件组的“连接符”为“ OR ”；   
6. 右击刚才新增的条件组，选择“新增 二元条件”；   
7. 选择第一个字段为“ company.id ”  
8. 右击第二个字段，将该字段类型替换为“用户属性”，并选择“ companyId ”用户属性；  
9. 右击刚才新增的条件组，选择“新增 二元条件”；  
10. 选择第一个字段为“ company.parentId ”；  
11. 右击第二个字段，将该字段类型替换为“用户属性”，并选择“ companyId ”用户属性；  
12. 点击“保存”按钮。

 

 

下图示：（复制数据查询）

 

下图示：（改变字段类型）

 

 

按照如下步骤操作，来定制“查询本营业部员工”数据查询：

1.     右击“查询所有员工”，选择弹出菜单中“复制”菜单项；

2.      在弹出的对话框中，名称栏输入“查询本营业部员工”，描述栏输入“营业部用户具有权限查看”，点击“确认”按钮；

3.     点击“查询本营业部员工”，选择“ WHERE ”标签页，修改 WHERE 条件；

4.     右击“条件组”，选择“新增 二元条件”；

5.     选择第一个字段为“ company.id ”

6.     右击第二个字段，将该字段类型替换为“用户属性”，并选择“ companyId ”用户属性；

7.     点击“保存”按钮。

用户分类

细粒度权限控制，核心问题就是针对不同用户或者不同类型用户，采取不同控制。 Metadmin 采用用户分类来描述不同用户类型。用户分类在整个业务系统，在各个权限设置时候都可以复用。

 

示例程序，我们要创建三个用户分类：总公司用户、分公司用户和营业部用户。

总公司用户的规则是：用户的机构级别等于 1 ；

分公司用户的规则是：用户的机构级别等于 2 ；

营业部用户的规则是：用户的机构级别等于 3 。

 

在权限设计器执行如下步骤，完成“总公司用户”用户分类定制：

1.    右击用户分类树形结构根节点，选择“新增 用户分类”；

2.    在弹出对话框里面，名称处输入“总公司用户”；

3.    在变量窗口，定义用户属性值变量 companyLevel ，将用户属性 companyLevel 输入该变量；

4.     在变量窗口，定义固定值变量 level ，其值等于 1 ；

5.     在表达式定义窗口，右击根节点，选择“添加 Binary 表达式”；

6.     第一个变量选择 companyLevel ，操作符选择“ = ”，第二个变量选择 level ；

7.     点击“保存”按钮，定制完毕。

 

此时，可以在线测试该用户分类是否有效。点击“测试”标签页，选择用户进行测试。

 

下图示：（定制总公司用户）

 

下图示：（测试总公司用户分类，“柴其贵”测试结果）

 

下图示：（测试总公司用户分类，“李朵朵”测试结果）

 

 

通过，复制方式快速定制“分公司用户”和“营业部用户”两个用户分类。具体过程在此不做叙述。

细粒度权限设置

Metadmin 专业细粒度权限管理中间件，强大优势表现为：

1.     完全将权限逻辑从业务系统中分离出来，且通过界面，引导开发人员配置出权限逻辑；

2.    这些权限逻辑可以在线测试；

3.     采用分类机制，免去了业务系统里面 if else 判断，并且非常直观地在权限设计器展现出本系统的权限逻辑；

 

按照如下步骤完成最后一步定制过程，（整个过程看起来比较长，熟练后 3 分钟即可定义完毕）：

1.     在“权限”分类栏，新建“查询员工”权限，输入相关信息；

2.     点击“查询员工”权限；

3.     点击“新增”图标，给查询授权，新增 3 条授权策略，如下图示。

4.     点击“保存”图标。

 

下图示：“查询员工”细粒度授权规则：

 

此时，可以点击“测试查询授权”标签页，选择用户进行测试。

与业务系统集成

一般情况下，开发者会采用 String 常量形式引用权限，而不是 int 型权限 id 。

可以点击权限分类栏上面的，“导出”图标，导出常量。将常量保存到业务系统常量类。

 

业务系统，不管是 jsp/servlet/manager 或者任意其他地方，需要调用该权限，获取当前用户能查询到的员工。调用 MetadminService.query( Privilege.QUERY_EMPLOYEE, user, null ) ，即可获得 user 能查询到的员工数据集合（ java.util.Collection ），每个元素类型是 org.back.demo.Employee ，在设计 SQL 时输入的映射类。

Metadmin 提供了很多查询接口，还有分页、自定义查询和查询数据条数等，详情参加 javadoc ： http://www.metadmin.com/doc/javadoc/index.html