Spring Boot + JSqlParser:全面解析数据隔离最佳实践
在构建多租户系统或需要进行数据权限控制的应用时,数据隔离是一个至关重要的课题。不同租户之间的数据隔离不仅能够确保数据的安全性,还能提高系统的灵活性和可维护性。随着业务的扩展和需求的变化,单纯依靠传统的分表分库策略往往难以满足日益复杂的业务场景,而更加精细的权限控制和数据隔离机制显得尤为关键。
在这种背景下,Spring Boot结合Mybatis的强大拦截器机制,以及JSqlParser作为SQL解析工具,为我们提供了一个行之有效的解决方案。通过在数据库访问层对SQL进行动态过滤和改造,我们可以在不同的查询、插入、更新、删除操作中灵活地加入租户信息,从而实现多租户数据的有效隔离。本文将深入介绍如何利用这两者的优势,借助拦截器与SQL解析技术,在不修改现有数据结构的基础上,实现对数据的透明隔离。
工具简介
MyBatis 拦截器
MyBatis 提供了丰富的拦截机制,允许在 SQL 执行的各个阶段插入自定义逻辑。本文将通过拦截 StatementHandler 接口的 prepare 方法来修改 SQL 语句,实现数据隔离的目标。
JSqlParser
JSqlParser 是一个开源的 SQL 解析工具,支持 SQL 语句的解析、重构等多种操作。它能够将 SQL 字符串转化为抽象语法树(AST),并允许程序操作和修改 SQL 语句的各个部分。通过对解析后的 AST 进行修改(例如添加环境变量过滤条件),我们可以在 SQL 查询中实现动态的数据隔离。
实现步骤
添加依赖
在 pom.xml 文件中添加 MyBatis 和 JSqlParser 的依赖:
<!-- MyBatis 依赖 -->
<dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-spring-boot-starter</artifactId><version>3.0.3</version>
</dependency><!-- JSqlParser 依赖 -->
<dependency><groupId>com.github.jsqlparser</groupId><artifactId>jsqlparser</artifactId><version>4.6</version>
</dependency>
注意:如果项目中已经使用了 MyBatis Plus,那么无需单独添加 MyBatis 和 JSqlParser 依赖,因为 MyBatis Plus 自带这两个依赖并且确保它们的兼容性。避免重复添加,避免版本冲突。
定义拦截器
我们通过自定义拦截器来修改所有查询 SQL,动态加入基于环境变量的过滤条件。
java">package com.icoderoad.interceptor;import net.sf.jsqlparser.JSQLParserException;
import net.sf.jsqlparser.expression.Expression;
import net.sf.jsqlparser.expression.StringValue;
import net.sf.jsqlparser.expression.operators.conditional.AndExpression;
import net.sf.jsqlparser.expression.operators.relational.EqualsTo;
import net.sf.jsqlparser.parser.CCJSqlParserUtil;
import net.sf.jsqlparser.statement.Statement;
import net.sf.jsqlparser.statement.select.*;
import org.apache.ibatis.executor.statement.StatementHandler;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.plugin.*;import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;import java.sql.Connection;@Component
@Intercepts({@Signature(type = StatementHandler.class, method = "prepare", args = {Connection.class, Integer.class})
})
public class DataIsolationInterceptor implements Interceptor {@Value("${spring.profiles.active}")private String env;@Overridepublic Object intercept(Invocation invocation) throws Throwable {Object target = invocation.getTarget();if (target instanceof StatementHandler) {StatementHandler statementHandler = (StatementHandler) target;BoundSql boundSql = statementHandler.getBoundSql();String originalSql = boundSql.getSql();String newSql = applyEnvFilter(originalSql);boundSql.setSql(newSql); // 更新SQL语句}return invocation.proceed(); // 执行SQL}private String applyEnvFilter(String originalSql) {Statement statement;try {statement = CCJSqlParserUtil.parse(originalSql);} catch (JSQLParserException e) {throw new RuntimeException("SQL解析失败: " + originalSql, e);}if (statement instanceof Select) {Select select = (Select) statement;PlainSelect selectBody = (PlainSelect) select.getSelectBody();Expression newWhereExpression = addEnvCondition(selectBody.getWhere());selectBody.setWhere(newWhereExpression);}return statement.toString(); // 返回修改后的SQL语句}private Expression addEnvCondition(Expression whereExpression) {// 生成用于数据隔离的 WHERE 条件AndExpression andExpression = new AndExpression();EqualsTo equalsTo = new EqualsTo();equalsTo.setLeftExpression(new Column("env"));equalsTo.setRightExpression(new StringValue(env));if (whereExpression == null) {return equalsTo;} else {andExpression.setLeftExpression(whereExpression);andExpression.setRightExpression(equalsTo);return andExpression;}}
}
测试查询
假设有以下 SQL 查询:
<select id="queryAllByOrgLevel" resultType="com.icoderoad.entity.AllInfo">SELECT a.username, a.code, o.org_code, o.org_name, o.levelFROM admin aLEFT JOIN organize o ON a.org_id = o.idWHERE a.dr = 0 AND o.level = #{level}
</select>
修改前:
原始 SQL 查询:
SELECT a.username, a.code, o.org_code, o.org_name, o.level
FROM admin a
LEFT JOIN organize o ON a.org_id = o.id
WHERE a.dr = 0 AND o.level = ?
修改后:
经过拦截器处理后:
SELECT a.username, a.code, o.org_code, o.org_name, o.level
FROM admin a
LEFT JOIN organize o ON a.org_id = o.id
WHERE a.dr = 0 AND o.level = ? AND a.env = 'test' AND o.env = 'test'
其他操作
对于 INSERT、UPDATE 和 DELETE 操作,我们同样可以在 SQL 语句中添加 env 字段:
INSERT
在插入数据时,env 字段会自动添加到 SQL 语句中:
INSERT INTO admin (id, username, code, org_id, env) VALUES (?, ?, ?, ?, 'test')
UPDATE
更新操作会在 WHERE 子句中添加 env 条件:
UPDATE admin SET username = ?, code = ?, org_id = ? WHERE id = ? AND env = 'test'
DELETE
删除操作也会被加上 env 条件:
DELETE FROM admin WHERE id = ? AND env = 'test'
为什么拦截 prepare 方法?
在 MyBatis 中,prepare 方法负责准备 SQL 语句和参数绑定,而 query 和 update 方法主要执行已经准备好的 PreparedStatement。通过拦截 prepare 方法,我们可以确保 SQL 在执行前就已经被修改,从而实现对数据隔离的控制。
