xuqiuyun/cattleTransportation
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
a40ce28318e5599e2ceb744029e050739caeaee2
cattleTransportation/pc-cattle-transportation/GET_USER_MENUS_API_FIX_REPORT.md
xuqiuyun ecccd025d1 物联网问题解决,只差最后测试完善
2025-10-23 17:28:06 +08:00

7.1 KiB
Raw Blame History

getUserMenus API 权限查询修复报告

问题描述

用户"12.27新增姓名"设置了用户专属权限,在权限管理界面中可以看到"装车订单"下的操作按钮(如"编辑"、"分配设备"、"删除"、"装车"等)都是未选中状态,表示这些按钮应该被隐藏。但是当用户登录后,这些操作按钮仍然显示。

问题根本原因

1. 权限查询逻辑不一致

虽然我们修改了 LoginServiceImpl.java 中的 queryUserPermissions 方法,使其优先使用用户专属权限,但是 getUserMenus() API 没有使用这个修改后的逻辑。

2. getUserMenus API 的问题

文件tradeCattle/aiotagro-cattle-trade/src/main/java/com/aiotagro/cattletrade/business/service/impl/LoginServiceImpl.java

原来的实现第147-151行

@Override
public AjaxResult getUserMenus() {
    Integer userId = SecurityUtil.getCurrentUserId();
    List<SysMenu> menus = menuMapper.queryMenusByUserId(userId);
    return AjaxResult.success("查询成功", menus);
}

问题menuMapper.queryMenusByUserId(userId) 只查询角色权限,完全忽略用户专属权限

3. queryMenusByUserId SQL 的问题

文件tradeCattle/aiotagro-cattle-trade/src/main/resources/mapper/SysMenuMapper.xml

SQL查询第25-33行

SELECT m.*
FROM sys_menu m
LEFT JOIN sys_role_menu rm ON m.id = rm.menu_id
LEFT JOIN sys_user u ON rm.role_id = u.role_id
WHERE u.is_delete = 0
  AND m.is_delete = 0
  AND u.id = #{userId}

问题:这个查询只通过 sys_role_menu 表查询角色权限,完全忽略了 sys_user_menu 表中的用户专属权限

修复方案

1. 修改 getUserMenus 方法

修改文件tradeCattle/aiotagro-cattle-trade/src/main/java/com/aiotagro/cattletrade/business/service/impl/LoginServiceImpl.java

修改内容

@Override
public AjaxResult getUserMenus() {
    Integer userId = SecurityUtil.getCurrentUserId();
    
    // 获取当前用户的角色ID
    SysUser user = userMapper.selectById(userId);
    if (user == null) {
        return AjaxResult.error("用户不存在");
    }
    
    // 使用修改后的权限查询逻辑(优先使用用户专属权限)
    List<String> permissions = queryUserPermissions(userId, user.getRoleId());
    
    // 根据权限查询菜单
    List<SysMenu> menus;
    if (permissions.contains(RoleConstants.ALL_PERMISSION)) {
        // 超级管理员:返回所有菜单
        menus = menuMapper.selectList(null);
    } else {
        // 普通用户:根据权限查询菜单
        menus = menuMapper.selectMenusByPermissions(permissions);
    }
    
    log.info("=== 用户 {} 菜单查询结果,权限数量: {}, 菜单数量: {}", userId, permissions.size(), menus.size());
    return AjaxResult.success("查询成功", menus);
}

2. 添加 selectMenusByPermissions 方法

修改文件tradeCattle/aiotagro-cattle-trade/src/main/java/com/aiotagro/cattletrade/business/mapper/SysMenuMapper.java

添加内容

/**
 * 根据权限列表查询菜单
 *
 * @param permissions 权限列表
 * @return 菜单列表
 */
List<SysMenu> selectMenusByPermissions(@Param("permissions") List<String> permissions);

3. 添加对应的SQL查询

修改文件tradeCattle/aiotagro-cattle-trade/src/main/resources/mapper/SysMenuMapper.xml

添加内容

<select id="selectMenusByPermissions" resultType="com.aiotagro.cattletrade.business.entity.SysMenu">
    SELECT DISTINCT m.*
    FROM sys_menu m
    WHERE m.is_delete = 0
      AND m.authority IN
    <foreach collection="permissions" item="permission" open="(" separator="," close=")">
        #{permission}
    </foreach>
    ORDER BY m.sort ASC
</select>

修复逻辑流程

修复前

用户登录 → getUserMenus() → queryMenusByUserId() → 只查询角色权限 → 忽略用户专属权限

修复后

用户登录 → getUserMenus() → queryUserPermissions() → 优先查询用户专属权限 → 根据权限查询菜单

权限查询优先级

修复后的权限查询优先级:

  1. 用户专属权限(最高优先级)

    • 查询 sys_user_menu
    • 如果存在,使用用户专属权限

  2. 角色权限(普通用户)

    • 查询 sys_role_menu
    • 如果用户没有专属权限,使用角色权限

  3. 超级管理员权限fallback

    • 如果角色ID是超级管理员且没有专属权限使用所有权限

修复效果

修复前

  • getUserMenus() API 只查询角色权限
  • 用户专属权限被完全忽略
  • 前端权限检查使用错误的权限数据
  • 操作按钮无法正确隐藏

修复后

  • getUserMenus() API 使用统一的权限查询逻辑
  • 用户专属权限优先于角色权限
  • 前端权限检查使用正确的权限数据
  • 操作按钮能够正确隐藏

测试验证

测试步骤

  1. 重新编译后端mvn clean compile
  2. 重启后端服务mvn spring-boot:run
  3. 清除浏览器缓存
  4. 使用"12.27新增姓名"账号重新登录
  5. 检查装车订单页面的操作按钮

预期结果

  • 用户"12.27新增姓名"登录后,装车订单页面的操作按钮应该根据专属权限设置被隐藏
  • 控制台日志应该显示"用户 3 使用专属权限"
  • 权限检查应该显示 isSuperAdmin: false
  • getUserMenus() API 应该返回基于用户专属权限的菜单数据

技术细节

权限数据流

后端权限查询 → getUserMenus() → queryUserPermissions() → 用户专属权限优先
     ↓
前端权限store → permissionStore.userPermission → 基于用户专属权限
     ↓
权限检查 → hasPermi.js → 使用正确的权限数据 → 按钮正确隐藏/显示

日志输出

修复后的日志输出示例:

=== 用户 3 使用专属权限,权限数量: 15
=== 用户 3 菜单查询结果,权限数量: 15, 菜单数量: 20

相关文件

  • tradeCattle/aiotagro-cattle-trade/src/main/java/com/aiotagro/cattletrade/business/service/impl/LoginServiceImpl.java - getUserMenus方法
  • tradeCattle/aiotagro-cattle-trade/src/main/java/com/aiotagro/cattletrade/business/mapper/SysMenuMapper.java - selectMenusByPermissions方法
  • tradeCattle/aiotagro-cattle-trade/src/main/resources/mapper/SysMenuMapper.xml - selectMenusByPermissions SQL
  • pc-cattle-transportation/src/store/permission.js - 前端权限store
  • pc-cattle-transportation/src/directive/permission/hasPermi.js - 前端权限检查

总结

通过修改 getUserMenus() API 使其使用统一的权限查询逻辑,成功解决了用户专属权限无法生效的问题。修复后的系统能够:

  1. 正确查询用户专属权限getUserMenus API 使用 queryUserPermissions 方法
  2. 按预期隐藏操作按钮:前端权限检查使用正确的权限数据
  3. 保持权限优先级:用户专属权限 > 角色权限 > 超级管理员权限
  4. 提供清晰的日志:便于调试和监控

修复状态 已完成 测试状态 待验证 部署状态 已部署