当前位置：首页 > news >正文

手把手改造Ruoyi-vue-plus权限体系：给多租户增加动态数据权限控制

news 2026/5/26 16:05:21

深度定制Ruoyi-vue-plus多租户数据权限：从架构设计到前端适配全解析

在当今企业级应用开发中，多租户系统已成为SaaS服务的标配，而数据权限控制则是确保租户间数据隔离的核心机制。Ruoyi-vue-plus作为国内流行的快速开发框架，其原生支持的多租户功能虽然基础完善，但在实际业务场景中，特别是医疗、金融等行业，往往需要更细粒度的动态数据权限控制。本文将带你深入改造Ruoyi-vue-plus权限体系，实现从部门可见性到字段级别的精细化控制。

1. 多租户数据权限架构设计

数据权限控制本质上是在SQL层面添加过滤条件，但在多租户环境中，这变得更为复杂。我们需要考虑租户隔离与数据权限的叠加效应，以及不同租户可能有不同的权限规则这一现实需求。

1.1 核心设计原则

分层控制：将权限控制分为租户级、部门级、用户级和自定义级
动态注入：权限规则应能运行时确定，而非硬编码在SQL中
低侵入性：尽量不改动业务代码，通过注解和AOP实现
前后端协同：前端需要感知权限规则以优化用户体验

1.2 技术栈选型

技术组件	作用	替代方案
MyBatis拦截器	SQL改写	Hibernate过滤器
SpEL表达式	动态规则解析	Groovy脚本
ThreadLocal	上下文传递	MDC日志上下文
Vue指令	前端权限控制	自定义组件

// 基础权限注解设计 @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface DataPermission { /** * 权限类型：TENANT(租户), DEPT(部门), USER(用户), CUSTOM(自定义) */ DataScopeType type() default DataScopeType.TENANT; /** * SpEL表达式，用于动态确定权限参数 */ String expression() default ""; }

2. 后端深度改造实战

2.1 动态SQL拦截器实现

核心思路是通过MyBatis插件拦截执行的SQL，根据当前租户上下文和权限规则动态修改查询条件。

@Intercepts({ @Signature(type= StatementHandler.class, method="prepare", args={Connection.class, Integer.class}) }) public class DataPermissionInterceptor implements Interceptor { private final SpelExpressionParser parser = new SpelExpressionParser(); @Override public Object intercept(Invocation invocation) throws Throwable { // 获取原始SQL StatementHandler handler = (StatementHandler)invocation.getTarget(); BoundSql boundSql = handler.getBoundSql(); String originalSql = boundSql.getSql(); // 解析权限规则 DataPermission permission = getDataPermission(handler); if(permission != null) { String newSql = applyPermission(originalSql, permission); resetSql(handler, boundSql, newSql); } return invocation.proceed(); } private String applyPermission(String sql, DataPermission permission) { // 实际SQL改写逻辑 String condition = buildWhereCondition(permission); return SqlParserUtils.appendWhereCondition(sql, condition); } }

2.2 多级权限规则引擎

对于复杂的权限场景，需要设计规则引擎来支持组合条件：

租户基础隔离：自动添加tenant_id条件
部门数据可见性：基于用户所属部门树
字段级权限：敏感字段的动态脱敏
自定义规则：通过SpEL表达式实现业务特定逻辑

public class DataPermissionRuleEngine { private static final List<DataPermissionHandler> handlers = Arrays.asList( new TenantPermissionHandler(), new DeptPermissionHandler(), new FieldPermissionHandler() ); public static String process(String sql, DataPermissionContext context) { String resultSql = sql; for(DataPermissionHandler handler : handlers) { if(handler.supports(context.getPermissionType())) { resultSql = handler.apply(resultSql, context); } } return resultSql; } }

3. 前端适配方案

3.1 权限指令设计

前端需要根据权限规则动态控制UI元素的显示和交互方式。我们创建Vue指令来实现这一功能：

// 全局注册权限指令 Vue.directive('permission', { inserted: function(el, binding) { const { value } = binding const hasPermission = checkPermission(value) if (!hasPermission) { el.parentNode && el.parentNode.removeChild(el) } } }) // 权限检查逻辑 function checkPermission(permission) { const currentTenant = store.getters.tenant const userPermissions = store.getters.permissions // 多租户权限校验逻辑 if(permission.tenantAware) { return userPermissions.some(p => p.code === permission.code && p.tenantId === currentTenant.id ) } return userPermissions.some(p => p.code === permission.code) }

3.2 动态表单控制

对于字段级权限，我们需要动态控制表单字段的可见性和编辑状态：

<template> <el-form :model="form"> <el-form-item v-for="field in visibleFields" :key="field.name" :prop="field.name" :label="field.label" > <el-input v-model="form[field.name]" :disabled="!field.editable" /> </el-form-item> </el-form> </template> <script> export default { computed: { visibleFields() { return this.allFields.filter(field => this.$hasPermission(`form:${field.name}:view`) ).map(field => ({ ...field, editable: this.$hasPermission(`form:${field.name}:edit`) })) } } } </script>

4. 性能优化与缓存策略

数据权限系统会带来额外的性能开销，特别是在复杂权限规则下。以下是关键优化点：

4.1 多级缓存设计

缓存层级	存储内容	失效策略
本地缓存	用户基础权限	登录时刷新
Redis缓存	租户权限规则	定时刷新+事件触发
查询缓存	权限SQL模板	LRU自动淘汰

4.2 权限预计算

在用户登录时预计算并缓存常用权限路径：

public class PermissionPreComputeService { @Async public void preComputePermissions(Long userId) { // 获取用户所有角色 List<Role> roles = roleService.findByUser(userId); // 构建权限树 PermissionTree tree = buildPermissionTree(roles); // 缓存计算结果 redisTemplate.opsForValue().set( "user:perms:" + userId, tree, 2, TimeUnit.HOURS ); } }

4.3 SQL优化技巧

避免N+1查询：使用JOIN代替多次查询
权限条件前置：将权限过滤放在JOIN条件中
索引优化：确保tenant_id等权限字段有合适索引

-- 优化前的查询 SELECT * FROM orders WHERE status = 'PAID' AND tenant_id = '123'; -- 优化后的查询 SELECT * FROM orders USE INDEX(tenant_status_idx) WHERE tenant_id = '123' AND status = 'PAID';

5. 复杂业务场景解决方案

5.1 跨租户数据共享

某些场景需要打破租户隔离，实现受控的数据共享：

@GetMapping("/shared-data") @TenantDataScope( type = DataScopeType.CUSTOM, expression = "#tenantId in T(com.xxx.ShareService).getSharedTenants()" ) public List<Data> getSharedData(@RequestParam String tenantId) { // 方法内无需处理权限逻辑 return dataService.listByTenant(tenantId); }

5.2 动态字段权限

通过元数据配置实现字段级别的动态控制：

public class FieldPermissionInterceptor { public Object intercept(Invocation invocation) throws Throwable { Object result = invocation.proceed(); if(result instanceof FieldSensitive) { FieldFilterUtils.filterFields(result); } return result; } } // 使用示例 @Data public class UserDTO implements FieldSensitive { @FieldPermission(expression = "#currentUser.hasPermission('user:view:sensitive')") private String idNumber; @FieldPermission(expression = "#currentUser.isAdmin()") private BigDecimal salary; }

5.3 权限变更实时生效

利用Spring事件机制实现权限的实时更新：

@EventListener public void handlePermissionUpdate(PermissionUpdateEvent event) { permissionCache.evict(event.getUserId()); if(event.isGlobal()) { messageQueue.publish(new PermissionRefreshMessage()); } }

在医疗HIS系统中，我们曾遇到一个典型场景：总院需要查看分院数据，但分院之间数据需要隔离。通过组合使用租户级权限和自定义表达式，我们实现了灵活的"数据视角"功能，让管理人员可以按需切换不同层级的

查看全文

http://www.jsqmd.com/news/574505/