用户访问控制时校验数据权限，防止越权

RuoYi

2022-01-27 b49cdbbc9516352d1f4511e4223fa9d089b057b9

 src/main/java/com/ruoyi/project/system/service/impl/SysRoleServiceImpl.java

@@ -9,13 +9,16 @@
import org.springframework.stereotype.Service;

import org.springframework.transaction.annotation.Transactional;

import com.ruoyi.common.constant.UserConstants;

import com.ruoyi.common.exception.CustomException;

import com.ruoyi.common.exception.ServiceException;

import com.ruoyi.common.utils.SecurityUtils;

import com.ruoyi.common.utils.StringUtils;

import com.ruoyi.common.utils.spring.SpringUtils;

import com.ruoyi.framework.aspectj.lang.annotation.DataScope;

import com.ruoyi.project.system.domain.SysRole;

import com.ruoyi.project.system.domain.SysRoleDept;

import com.ruoyi.project.system.domain.SysRoleMenu;

import com.ruoyi.project.system.domain.SysUser;

import com.ruoyi.project.system.domain.SysUserRole;

import com.ruoyi.project.system.mapper.SysRoleDeptMapper;

import com.ruoyi.project.system.mapper.SysRoleMapper;

import com.ruoyi.project.system.mapper.SysRoleMenuMapper;

@@ -119,7 +122,7 @@
     * @return 选中角色ID列表

     */

    @Override

    public List<Integer> selectRoleListByUserId(Long userId)

    public List<Long> selectRoleListByUserId(Long userId)

    {

        return roleMapper.selectRoleListByUserId(userId);

    }

@@ -182,7 +185,27 @@
    {

        if (StringUtils.isNotNull(role.getRoleId()) && role.isAdmin())

        {

            throw new CustomException("不允许操作超级管理员角色");

            throw new ServiceException("不允许操作超级管理员角色");

        }

    }



    /**

     * 校验角色是否有数据权限

     * 
     * @param roleId 角色id

     */

    @Override

    public void checkRoleDataScope(Long roleId)

    {

        if (!SysUser.isAdmin(SecurityUtils.getUserId()))

        {

            SysRole role = new SysRole();

            role.setRoleId(roleId);

            List<SysRole> roles = SpringUtils.getAopProxy(this).selectRoleList(role);

            if (StringUtils.isEmpty(roles))

            {

                throw new ServiceException("没有权限访问角色数据！");

            }

        }

    }



@@ -338,10 +361,11 @@
        for (Long roleId : roleIds)

        {

            checkRoleAllowed(new SysRole(roleId));

            checkRoleDataScope(roleId);

            SysRole role = selectRoleById(roleId);

            if (countUserRoleByRoleId(roleId) > 0)

            {

                throw new CustomException(String.format("%1$s已分配,不能删除", role.getRoleName()));

                throw new ServiceException(String.format("%1$s已分配,不能删除", role.getRoleName()));

            }

        }

        // 删除角色与菜单关联

@@ -350,4 +374,51 @@
        roleDeptMapper.deleteRoleDept(roleIds);

        return roleMapper.deleteRoleByIds(roleIds);

    }



    /**

     * 取消授权用户角色

     * 
     * @param userRole 用户和角色关联信息

     * @return 结果

     */

    @Override

    public int deleteAuthUser(SysUserRole userRole)

    {

        return userRoleMapper.deleteUserRoleInfo(userRole);

    }



    /**

     * 批量取消授权用户角色

     * 
     * @param roleId 角色ID

     * @param userIds 需要取消授权的用户数据ID

     * @return 结果

     */

    @Override

    public int deleteAuthUsers(Long roleId, Long[] userIds)

    {

        return userRoleMapper.deleteUserRoleInfos(roleId, userIds);

    }



    /**

     * 批量选择授权用户角色

     * 
     * @param roleId 角色ID

     * @param userIds 需要删除的用户数据ID

     * @return 结果

     */

    @Override

    public int insertAuthUsers(Long roleId, Long[] userIds)

    {

        // 新增用户与角色管理

        List<SysUserRole> list = new ArrayList<SysUserRole>();

        for (Long userId : userIds)

        {

            SysUserRole ur = new SysUserRole();

            ur.setUserId(userId);

            ur.setRoleId(roleId);

            list.add(ur);

        }

        return userRoleMapper.batchUserRole(list);

    }

}