用户设置多角色时的数据权限 #687

qmmm61 · 2021-10-13T08:48:26Z

版本: v2.6
环境: 本地/线上
复现步骤：设置三个角色，角色1，角色2，角色3，数据权限分别是自定义用户权限，全部用户权限，本级用户权限，设置用户拥有这三个角色，用户获取的数据权限时逻辑不明确。
具体获取用户数据权限的实现在DataServiceImpl的getDeptIds方法

    @Override
    @Cacheable(key = "'user:' + #p0.id")
    public List<Integer> getDeptIds(UserDto user) {
        // 用于存储部门id
        Set<Integer> deptIds = new HashSet<>();
        // 查询用户角色
        List<RoleSmallDto> roleSet = roleService.findByUsersId(user.getId());
        // 获取对应的部门ID
        for (RoleSmallDto role : roleSet) {
            DataScopeEnum dataScopeEnum = DataScopeEnum.find(role.getDataScope());
            switch (Objects.requireNonNull(dataScopeEnum)) {
                case THIS_LEVEL:
                    deptIds.add(user.getDept().getId());
                    break;
                case CUSTOMIZE:
                    deptIds.addAll(getCustomize(deptIds, role));
                    break;
                default:
                    return new ArrayList<>(deptIds);
            }
        }
        return new ArrayList<>(deptIds);
    }

这里返回数据权限结果集会因为查询用户所有角色集roleSet后，从中取出角色的顺序不同而不同，比如循环roleSet时取出的顺序是角色1，角色2，角色3，那么第一次循环，deptIds包含角色1的数据权限自定义数据权限，第二次循环因为是角色2是全部数据权限，return则直接返回new ArrayList<>(deptIds)后跳出循环，deptIds中就只有角色1的数据权限，最终这个用户就只有角色1的数据权限，根据这个样例不能理解这里返回多角色数据权限的逻辑。
日志提供: 无

The text was updated successfully, but these errors were encountered:

nibinyang · 2022-09-20T02:01:47Z

页面没有看到数据权限控制的地方

elunez · 2023-07-04T09:02:31Z

#801

elunez closed this as completed Jul 4, 2023

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

用户设置多角色时的数据权限 #687

用户设置多角色时的数据权限 #687

qmmm61 commented Oct 13, 2021

nibinyang commented Sep 20, 2022

elunez commented Jul 4, 2023

用户设置多角色时的数据权限 #687

用户设置多角色时的数据权限 #687

Comments

qmmm61 commented Oct 13, 2021

nibinyang commented Sep 20, 2022

elunez commented Jul 4, 2023