仿照若依框架进行数据权限控制

用的方案其实就是“若依”那套思路，不过自己做了点裁剪，核心就四步——注解标识、AOP 拦截、SQL 拼接、MyBatis 消费。下面按执行顺序捋一遍：

1. 打标记
   在需要控制权限的 Mapper 方法上贴一个自定义注解@DataScope，里面两个值：

   @DataScope(deptAlias="d",userAlias="u")List<Xxx>selectList(Xxxparam);

   这样一眼就能看出“这个方法要走数据权限”。

2. AOP 切面
   专门写了一个DataScopeAspect，进入方法之前先跑：

   • 清理 ThreadLocal，防止线程复用串数据；
   • 从 Spring Security 上下文里拿当前登录用户，包括他的角色、部门 ID、用户 ID；
   • 如果是超级管理员，直接放行；否则根据角色提前配置好的“数据范围”枚举拼 SQL 片段，比如“本部门及以下”就用find_in_set(ancestors)，“仅本人”就create_by = #{userId}。

3. 把条件塞进实体
   所有实体都继承BaseEntity，里面有个临时字段dataScope。切面通过反射把第 2 步拼好的 SQL 片段塞进去，再往下传。

4. MyBatis 消费
   XML 里统一加一句：

   <iftest="dataScope != null and dataScope !=''">${dataScope}</if>

   真正发到数据库的 SQL 就带上了权限过滤条件，返回的数据自然就是当前用户能看的那部分。

亮点补充

• 对业务代码零侵入，只在 Mapper 层加注解，Service 层无感知。
• SQL 片段统一维护，换需求只改枚举，不动业务。
• 线程级 ThreadLocal + 用完即清理，没有内存泄漏风险。
• 后面做 SaaS 多租户时，把“租户 ID”字段也加进来，同一套切面直接复用。

一句话总结
“注解一贴，切面自动把‘部门/个人’范围拼成 SQL，MyBatis 尾巴一接，数据权限就生效，全程业务代码无感，改需求只改配置。”