产品供销存-后端
上一版本: 3a613ca6 | 补丁 | 提交 | 显示空白
RuoYi
2023-03-17 9bfd1375e196842313c5b1072975a4680f582d76 
修复用户多角色数据权限可能出现权限抬升的情况
已修改1个文件
7 ■■■■■ 文件已修改
src/main/java/com/ruoyi/framework/aspectj/DataScopeAspect.java 7 ●●●●● 补丁 | 查看 | 原始文档 | blame | 历史 
 src/main/java/com/ruoyi/framework/aspectj/DataScopeAspect.java


@@ -108,6 +108,7 @@


            if (DATA_SCOPE_ALL.equals(dataScope))



            {



                sqlString = new StringBuilder();



                conditions.add(dataScope);



                break;



            }



            else if (DATA_SCOPE_CUSTOM.equals(dataScope))



@@ -141,6 +142,12 @@


            conditions.add(dataScope);



        }







        // 多角色情况下,所有角色都不包含传递过来的权限字符,这个时候sqlString也会为空,所以要限制一下,不查询任何数据



        if (StringUtils.isEmpty(conditions))



        {



            sqlString.append(StringUtils.format(" OR {}.dept_id = 0 ", deptAlias));



        }







        if (StringUtils.isNotBlank(sqlString.toString()))



        {



            Object params = joinPoint.getArgs()[0];