后端数据权限校验:提升效率,避免冗余查询
许多后端系统在设计数据权限控制时,常常面临一个挑战:如何高效地验证用户对特定数据的操作权限?本文将探讨一种优化方案,避免低效的重复数据库查询。
假设数据库中存储着一些数据,每条数据都关联一个创建者 createUserId。前端请求数据修改或删除时,只提供数据 id 和用户 userId(通常通过 JWT 等机制从请求头获取)。示例数据如下:
[ { "id": "100", "name": "data1", "createUserId": 1 }, { "id": "101", "name": "data2", "createUserId": 2 }, { "id": "102", "name": "data3", "createUserId": 3 }, { "id": "103", "name": "data4", "createUserId": 4 }, { "id": "104", "name": "data5", "createUserId": 4 } ]
如果用户要删除 id 为 103 的数据,前端只提供 id 为 103 和 userId(例如 4)。直接根据 id 删除是不安全的,因为 createUserId 容易被伪造。传统的做法是先根据 id 查询数据,再比对 createUserId 和 userId,只有相等才允许操作。这种方法需要两次数据库查询,效率低下。
更优的方案是优化权限校验流程。 避免每次操作都进行数据库查询验证权限。 更好的方法是在用户登录成功后,将用户的权限信息(包括 userId 及其关联的权限)存储在服务器端,例如使用 ThreadLocal 或类似机制,将其绑定到当前请求线程。 这样,后续任何数据操作前,可以直接从 ThreadLocal 获取用户信息,无需重复数据库查询。
这种方法显著提升效率,简化代码逻辑。处理数据修改或删除请求时,直接从 ThreadLocal 获取用户信息,根据预设的权限规则进行判断,无需再次查询数据库,从而保证系统安全性和效率。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
