[项目] 根据权限查询时避免角色切换遇到的坑
1. 问题背景
使用多个角色查询列表时,会遇到两个维度的不同点:
- 行维度:多个角色能够看到行的并集,sql需要多次查询取并集,之后还要去重分页排序
- 列维度:如果不同角色可见列不同,计算出当前行能看到列的并集
举一个例子:
假设存在一个登录员工拥有两个角色:
- 长期激励负责人:能看到拥有长期激励的人(行维度),能看到基本信息和长期激励信息(列维度)
- 薪酬负责人:能看到低职级的人(行维度),能看到基本信息和薪酬信息(列维度)
那么,在列表中他能看见:
| 基本信息 | 薪酬信息 | 长期激励信息 | |
|---|---|---|---|
| 低职级/无长期激励 | √ | √ | x |
| 低职级/长期激励 | √ | √ | √ |
| 高职级/无长期激励 | x | x | x |
| 高职级/长期激励 | √ | x | √ |
2. 实际遇到的问题(困难重重)
基本思路已经在前期概要里介绍,本人已经实践了一段时间,挖了两个深坑正在解决中。
性能问题(已解决)
最开始的实现中数据是一条一条读取的,同时薪酬字段属于加密信息,使用了第三方微服务提供解密,读取字段多+解密字段多 导致了在百条分页的情况下接口在超时的边缘不断试探。。。
解决方案:
- 合并查询sql,批量查询数据
- 合并解密请求,批量调用解密微服务
因为之前为了方便我们解密使用了mybatis的TypeHandler做到字段隐式加解密,目前我们的做法是对于单条数据的加解密,还是保持原来的typeHandler做法,而对批量数据处理,重新写一套数据实体,同时使用mybatis的拦截器对查询的批量数据做批量解密的处理。具体做法可以参见我的另一片文章:【片段】 Mybatis ResultSetHandler 实践-续
批量查询带来的问题
批量查询返回的列表中列字段都是一致的,而我们的需求是不同的行能看见不同的列字段,把批量查询出来的列表直接返回是有问题的,这个问题因为疏忽导致了线上的一次故障。
所以目前的思路是先做一次数据批量预取,之后在对列字段做处理,隐藏掉不能看见的字段。
3. 总结
没有想到当时想解决权限查询时避免角色切换这个问题时会遇到这么多困难,想法是正确的,在实际执行时还是困难重重。值得欣慰的在最开始的时候思路和方向都是正确的,同时也把其中遇到的各种问题和心得记录了下来,经过层层积累,才到达现在的高度。
[]: https://blog.yamato.moe/2018/11/06/2018-11-06-biz/ “根据权限查询时避免角色切换的一种思路”
[]: https://blog.yamato.moe/2019/04/04/Mybatis%20ResultSetHandler_2019-04-04%20%E7%BB%AD/ “【片段】 Mybatis ResultSetHandler 实践-续”
[]: https://blog.yamato.moe/2019/01/09/Mybatis%20ResultSetHandler_2019-01-09/ “【片段】 Mybatis ResultSetHandler 实践”
