Spring Boot + JSqlParser：全面解析数据隔离最佳实践

在构建多租户系统或需要进行数据权限控制的应用时，数据隔离是一个至关重要的课题。不同租户之间的数据隔离不仅能够确保数据的安全性，还能提高系统的灵活性和可维护性。随着业务的扩展和需求的变化，单纯依靠传统的分表分库策略往往难以满足日益复杂的业务场景，而更加精细的权限控制和数据隔离机制显得尤为关键。

在这种背景下，Spring Boot结合Mybatis的强大拦截器机制，以及JSqlParser作为SQL解析工具，为我们提供了一个行之有效的解决方案。通过在数据库访问层对SQL进行动态过滤和改造，我们可以在不同的查询、插入、更新、删除操作中灵活地加入租户信息，从而实现多租户数据的有效隔离。本文将深入介绍如何利用这两者的优势，借助拦截器与SQL解析技术，在不修改现有数据结构的基础上，实现对数据的透明隔离。

工具简介

MyBatis 拦截器

MyBatis 提供了丰富的拦截机制，允许在 SQL 执行的各个阶段插入自定义逻辑。本文将通过拦截 StatementHandler 接口的 prepare 方法来修改 SQL 语句，实现数据隔离的目标。

JSqlParser

JSqlParser 是一个开源的 SQL 解析工具，支持 SQL 语句的解析、重构等多种操作。它能够将 SQL 字符串转化为抽象语法树（AST），并允许程序操作和修改 SQL 语句的各个部分。通过对解析后的 AST 进行修改（例如添加环境变量过滤条件），我们可以在 SQL 查询中实现动态的数据隔离。

实现步骤

添加依赖
在 pom.xml 文件中添加 MyBatis 和 JSqlParser 的依赖：

<!-- MyBatis 依赖 -->
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>3.0.3</version>
</dependency>

<!-- JSqlParser 依赖 -->
<dependency>
    <groupId>com.github.jsqlparser</groupId>
    <artifactId>jsqlparser</artifactId>
    <version>4.6</version>
</dependency>

注意：如果项目中已经使用了 MyBatis Plus，那么无需单独添加 MyBatis 和 JSqlParser 依赖，因为 MyBatis Plus 自带这两个依赖并且确保它们的兼容性。避免重复添加，避免版本冲突。

定义拦截器
我们通过自定义拦截器来修改所有查询 SQL，动态加入基于环境变量的过滤条件。

java">package com.icoderoad.interceptor;

import net.sf.jsqlparser.JSQLParserException;
import net.sf.jsqlparser.expression.Expression;
import net.sf.jsqlparser.expression.StringValue;
import net.sf.jsqlparser.expression.operators.conditional.AndExpression;
import net.sf.jsqlparser.expression.operators.relational.EqualsTo;
import net.sf.jsqlparser.parser.CCJSqlParserUtil;
import net.sf.jsqlparser.statement.Statement;
import net.sf.jsqlparser.statement.select.*;
import org.apache.ibatis.executor.statement.StatementHandler;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.plugin.*;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import java.sql.Connection;

@Component
@Intercepts({
    @Signature(type = StatementHandler.class, method = "prepare", args = {Connection.class, Integer.class})
})
public class DataIsolationInterceptor implements Interceptor {

    @Value("${spring.profiles.active}")
    private String env;

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        Object target = invocation.getTarget();
        if (target instanceof StatementHandler) {
            StatementHandler statementHandler = (StatementHandler) target;
            BoundSql boundSql = statementHandler.getBoundSql();
            String originalSql = boundSql.getSql();
            String newSql = applyEnvFilter(originalSql);
            boundSql.setSql(newSql); // 更新SQL语句
        }
        return invocation.proceed(); // 执行SQL
    }

    private String applyEnvFilter(String originalSql) {
        Statement statement;
        try {
            statement = CCJSqlParserUtil.parse(originalSql);
        } catch (JSQLParserException e) {
            throw new RuntimeException("SQL解析失败: " + originalSql, e);
        }

        if (statement instanceof Select) {
            Select select = (Select) statement;
            PlainSelect selectBody = (PlainSelect) select.getSelectBody();
            Expression newWhereExpression = addEnvCondition(selectBody.getWhere());
            selectBody.setWhere(newWhereExpression);
        }

        return statement.toString(); // 返回修改后的SQL语句
    }

    private Expression addEnvCondition(Expression whereExpression) {
        // 生成用于数据隔离的 WHERE 条件
        AndExpression andExpression = new AndExpression();
        EqualsTo equalsTo = new EqualsTo();
        equalsTo.setLeftExpression(new Column("env"));
        equalsTo.setRightExpression(new StringValue(env));

        if (whereExpression == null) {
            return equalsTo;
        } else {
            andExpression.setLeftExpression(whereExpression);
            andExpression.setRightExpression(equalsTo);
            return andExpression;
        }
    }
}

测试查询
假设有以下 SQL 查询：

<select id="queryAllByOrgLevel" resultType="com.icoderoad.entity.AllInfo">
    SELECT a.username, a.code, o.org_code, o.org_name, o.level
    FROM admin a
    LEFT JOIN organize o ON a.org_id = o.id
    WHERE a.dr = 0 AND o.level = #{level}
</select>

修改前：
原始 SQL 查询：

SELECT a.username, a.code, o.org_code, o.org_name, o.level
FROM admin a
LEFT JOIN organize o ON a.org_id = o.id
WHERE a.dr = 0 AND o.level = ?

修改后：
经过拦截器处理后：

SELECT a.username, a.code, o.org_code, o.org_name, o.level
FROM admin a
LEFT JOIN organize o ON a.org_id = o.id
WHERE a.dr = 0 AND o.level = ? AND a.env = 'test' AND o.env = 'test'

其他操作
对于 INSERT、UPDATE 和 DELETE 操作，我们同样可以在 SQL 语句中添加 env 字段：

INSERT
在插入数据时，env 字段会自动添加到 SQL 语句中：

INSERT INTO admin (id, username, code, org_id, env) VALUES (?, ?, ?, ?, 'test')
UPDATE

更新操作会在 WHERE 子句中添加 env 条件：

UPDATE admin SET username = ?, code = ?, org_id = ? WHERE id = ? AND env = 'test'

DELETE
删除操作也会被加上 env 条件：

DELETE FROM admin WHERE id = ? AND env = 'test'

为什么拦截 prepare 方法？
在 MyBatis 中，prepare 方法负责准备 SQL 语句和参数绑定，而 query 和 update 方法主要执行已经准备好的 PreparedStatement。通过拦截 prepare 方法，我们可以确保 SQL 在执行前就已经被修改，从而实现对数据隔离的控制。