跳到主要内容

积木报表/大屏 按钮权限

本文介绍积木报表(报表设计器)与大屏/仪表盘(drag)的按钮级权限控制:如何按角色 / 权限编码控制按钮、右键菜单的显隐。

  • 支持版本v2.5+
  • 实现原理:后端在控制器方法上声明 @RequiresRoles(角色)/ @RequiresPermissions(权限编码)注解,前端据此控制按钮、右键菜单的显隐,做到「前端隐藏 + 后端拦截」双重保护。
  • 数据来源:角色与权限编码统一通过你实现的 JmReportTokenServiceI 扩展类提供,集成原理与 集成积木权限 一致。

一、整体原理

按钮权限是在原有「接口鉴权」基础上,把当前用户的角色权限编码下发到前端,用于控制按钮与右键菜单的显隐,做到「前端不显示、后端也拦截」的双重保护。

判定规则:角色(roles)权限编码(perms) 之间是 「或」(OR) 的关系——命中任意一个即放行。

维度说明
角色(roles)命中按钮/接口声明的任意一个角色即放行;内置角色 adminlowdeveloperdbadeveloper,其中 admin 放行所有按钮
权限编码(perms)命中按钮/接口声明的任意一个权限编码即放行
二者关系同时声明角色与权限编码时,满足其一即放行(角色命中 权限编码命中);同一维度内多个值之间同样是「或」

按钮隐藏只是「眼不见」,真正的安全由后端注解保证。请勿仅依赖前端隐藏

效果对比(有权限 / 无权限)

以报表设计器列表页左侧菜单为例:未授予对应权限编码(且无命中角色)时,相关入口会自动隐藏。下图中「定时导出」(jmreport:exportJob:list)、「报表组合」(jmreport:reportGroup:list)在无权限时不再显示。

有权限无权限
有权限无权限

二、配置入口:实现 Token 扩展类

角色与权限编码均来自你实现的 JmReportTokenServiceI。如果不实现,积木会打印告警并放行(存在风险),因此生产环境必须实现

下面是与 jeecgboot 集成时的完整参考实现(getPermissions 把「大屏 drag」与「积木报表 jmreport」两块按钮权限分开维护后合并返回,便于扩展):

@Component
public class JimuReportTokenService implements JmReportTokenServiceI {

/**
* 返回当前用户的角色编码
* 积木内置三个角色:admin、lowdeveloper、dbadeveloper(admin 放行所有按钮)
*/
@Override
public String[] getRoles(String token) {
// 从你的权限体系(如 jeecgboot 的 sys_role)中取出当前用户角色
return new String[]{"lowdeveloper"};
}

/**
* 返回当前用户的按钮权限编码
* 这里为演示,直接列出大屏(drag)与积木报表(jmreport)支持的全部权限编码;
* 实际项目中应从你的权限体系(如 jeecgboot 的 sys_permission)按当前用户动态返回其拥有的编码。
*/
@Override
public String[] getPermissions(String token) {
// ========== 第一块:大屏(仪表盘 BI)按钮权限 ==========
// 与 drag 模块各控制器上生效的 @RequiresPermissions 注解保持一致
String[] dragPermissions = new String[]{
"drag:datasource:testConnection", // 数据源连接测试
"drag:datasource:saveOrUpate", // 数据源新增/编辑
"drag:datasource:delete", // 数据源删除
"drag:datasource:deleteBatch", // 数据源批量删除
"drag:datasource:queryById", // 数据源详情查询
"drag:dataset:save", // 数据集保存
"drag:dataset:delete", // 数据集删除
"drag:analysis:sql", // SQL解析
"drag:design:getTotalData", // 仪表盘对Online表单展示数据
"drag:iconlib:config", // 图标库配置
"onl:drag:clear:recovery", // 清空回收站
"onl:drag:page:delete", // 仪表盘页面删除
"onl:drag:category:delete", // 仪表盘分类删除
"onl:drag:comp:add", // 组件新增
"onl:drag:comp:edit", // 组件编辑
"onl:drag:comp:delete", // 组件删除
"onl:drag:comp:deleteBatch", // 组件批量删除
"onl:drag:getRawTableData" // 获取原始表数据
};

// ========== 第二块:积木报表按钮权限 ==========
String[] jmreportPermissions = new String[]{
"jmreport:exportJob:plugin", // 导出任务-插件
"jmreport:exportJob:list", // 导出任务-列表
"jmreport:exportJob:save", // 导出任务-保存
"jmreport:exportJob:detail", // 导出任务-详情
"jmreport:exportJob:delete", // 导出任务-删除
"jmreport:exportJob:status", // 导出任务-状态变更
"jmreport:exportJob:run", // 导出任务-执行
"jmreport:map:add", // 地图-新增
"jmreport:map:delete", // 地图-删除
"jmreport:reportGroup:list", // 报表分组-列表
"jmreport:reportGroup:detail", // 报表分组-详情
"jmreport:reportGroup:save", // 报表分组-保存
"jmreport:reportGroup:delete", // 报表分组-删除
"jmreport:category:add", // 报表分类-新增
"jmreport:category:edit", // 报表分类-编辑
"jmreport:category:delete", // 报表分类-删除
"jmreport:category:reduction", // 报表分类-还原
"jmreport:category:completelyDelete",// 报表分类-彻底删除
"jmreport:category:batchMove", // 报表分类-批量移动
"jmreport:category:folderSort", // 报表分类-文件夹排序
"jmreport:design:loadTableData" // 设计器-加载表数据
};

// 合并两块权限后返回
return Stream.concat(Arrays.stream(dragPermissions), Arrays.stream(jmreportPermissions))
.toArray(String[]::new);
}

// ... getUsername / verifyToken 等其他方法
}

与 jeecgboot 集成时,getRoles / getPermissions 直接返回 jeecgboot 当前登录用户的角色编码和菜单按钮权限编码即可,无需额外维护。角色命中或权限编码命中,二者满足其一即可放行。

三、积木报表(报表设计器)按钮权限编码

报表设计器列表页(/jmreport/list)支持以下权限编码,可按需分配给角色:

权限编码功能
jmreport:category:add新增分类/文件夹
jmreport:category:edit编辑分类
jmreport:category:delete删除分类(移入回收站)
jmreport:category:reduction回收站还原
jmreport:category:completelyDelete彻底删除 / 清空回收站
jmreport:category:batchMove批量移动
jmreport:category:folderSort文件夹排序
jmreport:reportGroup:list报表分组-列表
jmreport:reportGroup:detail报表分组-详情
jmreport:reportGroup:save报表分组-保存
jmreport:reportGroup:delete报表分组-删除
jmreport:exportJob:list导出任务-列表
jmreport:exportJob:save导出任务-保存
jmreport:exportJob:detail导出任务-详情
jmreport:exportJob:delete导出任务-删除
jmreport:exportJob:run导出任务-执行
jmreport:exportJob:status导出任务-状态切换
jmreport:exportJob:plugin导出任务-插件
jmreport:map:add地图-新增
jmreport:map:delete地图-删除
jmreport:design:loadTableData预览数据(SQL 数据集下浏览数据功能)

例如,给某角色只分配 jmreport:category:addjmreport:category:edit,该角色在列表页就只能看到「新增分类」「编辑分类」按钮,删除、彻底删除、批量移动等按钮会被隐藏;同时对应的后端接口也会拦截无权限请求。

四、大屏 / 仪表盘(drag)按钮权限编码

大屏与仪表盘模块(/drag/list)采用完全相同的机制:后端控制器方法上声明 @RequiresRoles / @RequiresPermissions,前端据此控制按钮与右键菜单显隐,角色与权限编码同样是「或」的关系,判定规则与上文一致。

drag 模块当前生效的权限编码(即各控制器上 @RequiresPermissions 注解声明的编码):

权限编码功能
drag:datasource:testConnection数据源连接测试
drag:datasource:saveOrUpate数据源新增/编辑
drag:datasource:delete数据源删除
drag:datasource:deleteBatch数据源批量删除
drag:datasource:queryById数据源查询详情
drag:dataset:save数据集保存
drag:dataset:delete数据集删除
drag:analysis:sqlSQL 解析
drag:design:getTotalData对 Online 表单展示数据
drag:iconlib:config图标库配置(增/改/删)
onl:drag:clear:recovery清空回收站
onl:drag:page:delete页面(大屏/仪表盘)删除
onl:drag:category:delete分类删除(移入回收站/彻底删除)
onl:drag:comp:add组件新增
onl:drag:comp:edit组件编辑
onl:drag:comp:delete组件删除
onl:drag:comp:deleteBatch组件批量删除
onl:drag:getRawTableData获取表格原始数据

分配权限时请保持编码与控制器上 @RequiresPermissions 注解完全一致(区分大小写)。

五、常见问题

Q:分配了权限,按钮还是不显示?

  • 确认 getPermissions 真实返回了对应编码,且与按钮/注解声明的编码完全一致(区分大小写、冒号分隔);
  • 或给当前用户分配命中的角色(角色与权限编码是「或」的关系,命中其一即放行;admin 放行所有);
  • 确认已实现 JmReportTokenServiceI,否则空角色/空权限会被当作「无权限」隐藏按钮。

Q:操作时提示「没有权限,请联系管理员分配权限!」?

  • 这是后端注解拦截返回的提示,说明该接口需要对应角色或权限编码,给当前用户补充相应角色或编码即可。

Q:只想前端隐藏、后端不拦截可以吗?

  • 不建议。前端隐藏只是体验层,后端注解才是安全边界,二者使用同一套编码,保持一致即可。