Spring Boot自定义权限并对对列表进行数据多字段权限过滤

实现 Spring Boot 自定义权限，可以使用 Spring Security 提供的权限控制功能。在多字段权限过滤方面，可以通过 Spring Data JPA 提供的 Specification 来实现。下面是一个实现自定义权限控制和数据多字段权限过滤的示例代码：

首先，我们定义一个 UserAuthService 接口，用于获取当前用户的权限信息：java

public interface UserAuthService {
    List<Long> getPermissionIds(String type, String value);
}

接着，我们定义一个 DataPermissionAspect 切面，用于在需要进行权限控制的方法中添加权限条件：java

@Aspect
@Component
public class DataPermissionAspect {

    @Autowired
    private UserAuthService userAuthService;

    @Pointcut("@annotation(DataPermission)")
    public void dataPermission() {}

    @Before("dataPermission()")
    public void before(JoinPoint joinPoint) throws Throwable {
        Object[] args = joinPoint.getArgs();
        if (args.length > 0) {
            DataPermission dataPermission = ((MethodSignature) joinPoint.getSignature())
                    .getMethod().getAnnotation(DataPermission.class);
            if (dataPermission != null) {
                String type = dataPermission.type();
                String value = dataPermission.value();
                List<Long> ids = userAuthService.getPermissionIds(type, value);
                if (!ids.isEmpty()) {
                    Specification specification = (Specification) args[0];
                    CriteriaBuilder builder = specification.getCriteriaBuilder();
                    CriteriaQuery query = builder.createQuery();
                    Root root = query.from(specification.getEntityClass());
                    List<Predicate> predicates = new ArrayList<>();
                    for (String field : dataPermission.fields()) {
                        Path fieldPath = root.get(field);
                        Predicate fieldPredicate = fieldPath.in(ids);
                        predicates.add(fieldPredicate);
                    }
                    Predicate[] predicateArray = predicates.toArray(new Predicate[predicates.size()]);
                    Predicate permissionPredicate = builder.or(predicateArray);
                    query.where(permissionPredicate);
                    args[0] = specification.and(query);
                }
            }
        }
    }
}

在上面的代码中，我们定义了一个 DataPermissionAspect 切面，拦截带有 @DataPermission 注解的方法。在方法执行前，我们首先获取注解中定义的数据权限类型和数据权限值，然后调用 UserAuthService 中的方法获取当前用户有权限访问的数据 ID 列表。接着，我们遍历注解中定义的多个字段，将数据权限条件添加到每个字段的查询中。最后，我们将所有字段的查询条件用 OR 连接起来，添加到方法的查询参数中，实现数据多字段权限过滤。

在客户端配置中，我们需要在 HTTP 请求头中添加当前用户的权限信息。下面是一个示例代码：javascript

import axios from 'axios';

// 添加请求拦截器
axios.interceptors.request.use(function (config) {
  // 从本地存储中获取当前用户的权限信息
  const permissions = JSON.parse(localStorage.getItem('permissions'));
  // 将权限信息添加到请求头中
  if (permissions) {
    config.headers['X-User-Permissions'] = JSON.stringify(permissions);
  }
  return config;
}, function (error) {
  return Promise.reject(error);
});

在上面的代码中，我们使用 Axios 库发送 HTTP 请求，并通过请求拦截器在请求头中添加当前用户的权限信息