最近手上有个项目，已经接近尾声，需要做权限控制。比如说列表数据，一个部门的员工，普通职员只能看自己创建的数据，主管可以看自己以及手下的数据。列表是有分页的，查询条件都封装在了分页对象里。
下面开始解决这个问题。

1、如何获取控制权限呢？
用户登录时，会查询用户的个人信息，验证登录密码，这时可以获取用户的权限及职位，判断他是高级管理员、主管，还是员工。查询数据加权限，就是加查询条件。

高级管理员，在列表页能查看所有数据，因此不用加条件限制。

主管，在列表页可以查看自己及手下员工创建的数据，因此登录成功后需要获取本人及手下的员工Id集合。

员工，在列表页只能查看自己创建的数据，因此在查询条件里加上自己的Id限制即可。

以上是控制权限的获取。

2、如何加控制权限呢？

2.1 权限分析

主管，在列表页可以查看自己及本部门下所有员工创建的数据，查询的数据必须在用户集合里，在mysql语句里表现为：

数据创建者 in ('userUid1','userUid2','userUid3')

普通员工，在列表页只能查看自己创建的数据，查询的数据只能是自己，在mysql语句里表现为：

创建者 = 'userUid'

2.2 权限添加

普通员工的 userUid 作为一个参数直接加在分页对象里传到mybatis的xml中。

<sql id="Search_Criteria">   
    <bind name="userUid" value="condition['userUid']"/>
    <bind name="userUids" value="condition['userUids']"/>
</sql>

主管的情况就比较难控制，在 bind 标签中是不支持复杂类型的数据，只支持基础类型的数据，也就是说不支持集合的。userUids 你传一个list过去，它就抛异常了。
难道在 Dao层的方法中加个参数？把

List<Map<String,Object>> searchByCriteria(Pager pager);

更改为：

List<Map<String,Object>> searchByCriteria(Pager pager,@Param("userUids") List<String> userUids);

这样改，行不行，不知道。

单单是这样改下来，我的改动就大了。

每个Dao层、Controller层、Service层我都要动一遍，增加一个传递的参数，太太麻烦了！

3、如何把权限也加在分页对象里呢？

3.1 如果我把 userUids 的集合转换成 String 字符串，就可以以字符串的形式存储在Pager对象里，这样就解决了 bind 参数的问题。

public static void main(String[] argo){
     // 用户集合转换成String字符串模拟
     List<String> userUids = new ArrayList<String>();
     userUids.add("123456");
     userUids.add("234567");
     userUids.add("345678");
     // Collectors.joining("','", "('", "')") 第一个参数：分隔符，第二个参数：开头符，第三个参数：结束符
     System.out.println(userUids.stream().collect(Collectors.joining("','", "('", "')")));
}

输出结果：

 ('123456','234567','345678')

3.2 又想到了# 和 {} 原样输出，就解决了Mybatis参数替换的问题。

<if test="userUids != null and userUids != ''">
   and A.create_user in ${userUids}
</if>

使用 ${}，只需要调整控制层的代码和 xml 文件中的 sql 语句即可，Dao层和 Service层无需调整，确实少写了大量代码，一个小技巧，作用却不小。

4、# 和 $ 到底有什么区别？

4.1 #{} 解析的是占位符？，在mybatis 的 xml里，我们经常看到它的身影。

user_uid = #{userUid,jdbcType=VARCHAR}

上面这句会被转义为

user_uid = ?

4.2 ${} 是变量替换

user_uid in ${userUids}

会被替换为

user_uid in ('123456')

在 mybatis 的 xml 文件里，我们最常使用的是 #{} 号，它可以防止 sql 语句注入。
在程序里获取配置文件里的变量时，我们使用的是 ${}。

@Value("${host}")
 public String host;

配置文件里的变量会被原样读出。

5、使用${}注意事项

话说 ${} 会引起 sql 语句注入，在 Mybatis 的 xml 里还能不能用了？

在上面的业务场景中，还是可以用的，需要传递的参数是系统查询出来的，而不是用户输入的，不存在乱七八糟的数据，大可放心用。

能用或者不能用，都是要看业务场景，数据的来源安不安全，安全则可以放心用。写个代码，系统安全还是要放在第一位的。