若依框架中实现配置路径白名单

已于 2023-09-25 17:31:51 修改
阅读量1w 收藏 25
点赞数
文章标签: java
于 2023-06-29 11:22:41 首次发布

问题

​ 我们从若依项目的简介中可以知道,若依前后端分离系统采用了Spring Security作为权限校验框架,那么,如果我们想要不登录就可以访问某些页面应该怎么办?

分析

​ 若依官网的解释:若依官网解释

​ 有关spring security配置的东西若依框架都在SecurityConfig类里面有写。找到configure()方法,一般这个类里面会写。

 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eQGlma5G-1666317952035)(Ruo-Yi 前后端分离如何不登录直接访问.assets/image-20221021092551886.png)]

这里的意思就是 permitAllUrl.getUrls()集合 里面的路径因为后面设置了permitAll()用户可以任意访问。所以我们要想某些路径不登陆就可以访问,其实只需要我们的不登陆像访问的路径在 permitAllUrl.getUrls()集合里面即可。

# 若依原作者的注释
* anyRequest          |   匹配所有请求路径
* access              |   SpringEl表达式结果为true时可以访问
* anonymous           |   匿名可以访问
* denyAll             |   用户不能访问
* fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
* hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
* hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
* hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
* hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
* hasRole             |   如果有参数,参数表示角色,则其角色可以访问
* permitAll           |   用户可以任意访问
* rememberMe          |   允许通过remember-me登录的用户访问
* authenticated       |   用户登录后可访问

SecurityConfig 类里面有如下代码:

/*** 允许匿名访问的地址*/
@Autowired
private PermitAllUrlProperties permitAllUrl;

permitAllUrl 是从这里注入进来的,想要知道怎么不登陆就可以访问,就必须分析类PermitAllUrlProperties

PermitAllUrlProperties 类

这个类有@Configuration注解,代表这个类是已启动就被注册到 spring 容器里面。

package com.ruoyi.framework.config.properties;import com.ruoyi.common.annotation.Anonymous;
import org.apache.commons.lang3.RegExUtils;
import org.springframework.beans.BeansException;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.AnnotationUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Optional;
import java.util.regex.Pattern;/*** 设置Anonymous注解允许匿名访问的url*      该配置类 项目启动就会被加载*      实现了 ApplicationContextAware 类 就可以在本类获取 bean 对象*      凡是继承 InitializingBean 的类,在初始化bean的时候都会执行 afterPropertiesSet 方法***      注意:1、在Spring初始化bean的时候,如果该bean实现了InitializingBean接口,并且同时在配置文件中指定了init-method,*              系统则是先调用afterPropertieSet()方法,然后再调用init-method中指定的方法*              Spring为bean提供了两种初始化bean的方式,实现 InitializingBean 接口,*              实现afterPropertiesSet方法,或者在配置文件中通过init-method指定,两种方式可以同时使用。*           2、实现InitializingBean接口是直接调用afterPropertiesSet方法,*              比通过反射调用 init-method 指定的方法效率要高一点,但是init-method方式消除了对spring的依赖。*           3、如果调用 afterPropertiesSet 方法时出错,则不调用init-method指定的方法。**           BeanPostProcessor,该接口中有两个方法,InitializingBean发挥作用的时机就在这两个方法之间。从语义也很好看出来,*              postProcessBeforeInitialization -> initializingBean -> postProcessAfterInitialization*              afterPropertiesSet 发生作用的时机是当前类的实例化的时候,而 BeanPostProcessor 则是所有类,这也是为什么 afterPropertiesSet 的函数中没有参数**              postProcessBeforeInitialization方法在bean初始化之前执行, postProcessAfterInitialization方法在bean初始化之后执行。**    构造函数 -> postProcessBeforeInitialization -> @PostConstruct ->  initializingBean -> init-method  -> postProcessAfterInitialization*    由此可见初始化Bean的先后顺序为:*          Bean 本身的构造函数*          BeanPostProcessor 的 postProcessBeforeInitialization方法*          类中添加了注解 @PostConstruct 的方法*          InitializingBean 的 afterPropertiesSet 方法*          init-method*          BeanPostProcessor 的 postProcessAfterInitialization 方法*    Constructor(构造方法) -> @Autowired(依赖注入) -> @PostConstruct(注释的方法)* @author ruoyi*/
@Configuration
public class PermitAllUrlProperties implements InitializingBean, ApplicationContextAware
{private static final Pattern PATTERN = Pattern.compile("\\{(.*?)\\}");private ApplicationContext applicationContext;private List<String> urls = new ArrayList<>();public String ASTERISK = "*";@Overridepublic void afterPropertiesSet(){/*** RequestMappingHandlerMapping的作用是在容器启动后将系统中所有控制器方法的请求条件(RequestMappingInfo)和控制器方法(HandlerMethod)的对应关系注册* 到RequestMappingHandlerMapping Bean的内存中,待接口请求系统的时候根据请求条件和内存中存储的系统接口信息比对,再执行对应的控制器方法。*/RequestMappingHandlerMapping mapping = applicationContext.getBean(RequestMappingHandlerMapping.class);// HandlerMethod 类用于封装控制器方法信息,包含类信息、方法Method对象、参数、注解等信息,具体的接口请求是可以根据封装的信息调用具体的方法来执行业务逻辑;// RequestMappingInfo其实就是将我们熟悉的@RequestMapping注解的信息数据封装到了RequestMappingInfo POJO对象之中,然后和HandlerMethod做映射关系存入缓存之中;// 可以参考博客:https://blog.csdn.net/yaomingyang/article/details/107026595Map<RequestMappingInfo, HandlerMethod> map = mapping.getHandlerMethods();map.keySet().forEach(info -> {HandlerMethod handlerMethod = map.get(info);// 获取方法上边的注解 替代path variable 为 *// 从类或方法中查找某个 Anonymous 注解Anonymous method = AnnotationUtils.findAnnotation(handlerMethod.getMethod(), Anonymous.class);Optional.ofNullable(method).ifPresent(anonymous -> info.getPatternsCondition().getPatterns().forEach(url -> urls.add(RegExUtils.replaceAll(url, PATTERN, ASTERISK))));// 获取类上边的注解, 替代path variable 为 *Anonymous controller = AnnotationUtils.findAnnotation(handlerMethod.getBeanType(), Anonymous.class);Optional.ofNullable(controller).ifPresent(anonymous -> info.getPatternsCondition().getPatterns().forEach(url -> urls.add(RegExUtils.replaceAll(url, PATTERN, ASTERISK))));});}@Overridepublic void setApplicationContext(ApplicationContext context) throws BeansException{this.applicationContext = context;}public List<String> getUrls(){return urls;}public void setUrls(List<String> urls){this.urls = urls;}
}

从上面的代码我们知道,只要我们给类上加 @Anonymous注解,就可以将不登陆就可以访问的路径加入urls集合里面。

/*** 匿名访问不鉴权注解* * @author ruoyi*/
@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Anonymous
{
}

测试

有了以上的分析,我们接下来测试一波。我们测试缓存监控页面,请求为

http://localhost/dev-api/monitor/cache

不加@Anonymous注解之前:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nOqAddEE-1666317952035)(Ruo-Yi 前后端分离如何不登录直接访问.assets/image-20221021094638260.png)]

测试结果:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wURyqbFA-1666317952035)(Ruo-Yi 前后端分离如何不登录直接访问.assets/image-20221021094603553.png)]

加了 @Anonymous注解之后:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HeCxHhwF-1666317952036)(Ruo-Yi 前后端分离如何不登录直接访问.assets/image-20221021094742483.png)]

测试结果,访问成功:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GHfwbPa1-1666317952036)(Ruo-Yi 前后端分离如何不登录直接访问.assets/image-20221021094804998.png)]

总结

1、在若依的系统里面,如果我们想要实现某一个接口不登陆就可以访问,只需要在方法上添加 @Anonymous注解即可。

2、如果我们想要在我们的项目里面实现不登陆就可以访问,我们可以将若依的PermitAllUrlProperties类和Anonymous类拿过来,然后在SecurityConfigspring security的配置类添加如下代码。

/*** 允许匿名访问的地址*/
@Autowired
private PermitAllUrlProperties permitAllUrl;@Override
protected void configure(HttpSecurity httpSecurity) throws Exception
{// 注解标记允许匿名访问的url// 自定义@Anonymous注解添加到方法上可以实现跳过权限验证。ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());// ....     
}

拓展:另一种方法基于配置文件

​ 经过上面的分析,我们知道,实现不登陆就可以访问某些接口,若依系统采用的是注解的形式,其实我们还可以将不需要登陆的接口放入配置文件里面。

/*** 允许匿名访问的地址*/
//@Autowired
//private PermitAllUrlProperties permitAllUrl;
@Resource
private IgnoreUrlsConfig ignoreUrlsConfig;

...

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception{
// 注解标记允许匿名访问的url
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
//        permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());
        // 白名单
        //不需要保护的资源路径允许访问
        for (String url : ignoreUrlsConfig.getUrls()) {
            registry.antMatchers(url).permitAll();
        }
//以上是修改内容
 httpSecurity...
}

1、在 SecurityConfig类改为

去掉原有的方式的类的注入,添加IgnoreUrlsConfig

2、添加类 IgnoreUrlsConfig

/*** 用于配置白名单资源路径*/
@Component
@ConfigurationProperties(prefix = "secure.ignore")
public class IgnoreUrlsConfig {
    private List<String> urls = new ArrayList<>();

    public List<String> getUrls() {return urls;}

    public void setUrls(List<String> urls) {this.urls = urls;}
}

3、在 application.yml添加白名单

secure:ignore:urls: #安全路径白名单- /monitor/cache

4、测试,还是测试之前的接口

http://localhost/dev-api/monitor/cache

记住,去掉权限的注解

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HeZUQ55l-1666317952036)(Ruo-Yi 前后端分离如何不登录直接访问.assets/image-20221021100236661.png)]

测试成功:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bx4XtUqK-1666317952037)(Ruo-Yi 前后端分离如何不登录直接访问.assets/image-20221021100248640.png)]

 以上的两种方法,我自己还是比较喜欢第二种,想要添加或者删除不需要登陆就可以访问的路径只需要修改配置文件即可,还不会污染业务代码。

Xiao_Bai320
关注
若依如何配置允许跨域访问?
猿小白的博客
12-16 6712
在前后端分离的项目中,跨域访问会经常遇到,如何解决呢? 目录 1、单个控制器方法CORS注解 2、整个控制器启用CORS注解 3、全局CORS配置(在ResourcesConfig重写addCorsMappings方法) 1、单个控制器方法CORS注解 @RestController @RequestMapping("/system/test") public class TestController { @CrossOrigin @GetMapping("/{id}").
若依vue版前端白名单处理
CodeTom的博客
08-05 3099
不过需要注意的是因为没有登录,所以左侧的导航栏是没权下查数据库的,所以可以在index.js中去掉 component: Layout,这样就直接展示界面而不展示导航栏了。不过还需要注意的是填写的url不能是数据库的动态路由,所以我们要找到路由的js文件手动添加路由(该路由也不能跟动态路由重复)在这个whiteList 添加界面的url就可以直接访问并且不需要登录(也就是白名单)也就是在router文件夹内的index.js文件,在公共路由内加入你的url。找到permission.js文件。
RuoYi-Vue若依框架-后端设置不登陆访问(白名单
来都来了
10-15 2715
不登陆访问超简单版
若依 v3.8.7 文件结构分析-SpringBoot
最新发布
geyaliang的博客
02-08 904
看完 若依 Spring Boot 内容,就能上手使用。
若依前后端分离框架不校验token设置api白名单 {“msg“:“获取用户信息异常“,“code“:401}
weixin_40918145的博客
03-26 3384
首先,需要找到SecurityConfig类的configure方法。接下来在自己的controller层把一下这段代码注释掉。已经放行但是还是提示获取用户信息异常,还需要将。此时,还是出现上述问题,还需要将注解注释掉。至此,前端才可以正常获取接口。
Galaxy框架设置页面/后台白名单
weixin_30632899的博客
05-18 209
在软件开发过程当中,PC端作为管理系统,大部分需要登录验证,以保证数据安全。 但是有些时候,移动端也需要一些的网页展示,但是又没有必要做一个新的系统出来,这个时候,我们就可以在PC的前台设计一些移动端页面,并在框架中设置白名单,这样就可以绕过登录验证,用作展示使用,不过个人不清楚这样会不会产生系统漏洞,待测试。 前端设置 在src/const/website.js中,whiteList和wh...
若依白名单配置
MMddhh_的博客
03-08 1767
用于
若依vue添加访问白名单,免登录访问指定路由页面
Still_and_silent的博客
04-29 3186
若依vue添加访问白名单,免登录访问指定路由页面
若依框架配置路径白名单
03-31
,可以在配置文件中添加以下内容: ``` # 允许访问的路径 ...spring.security.oauth2.resourceserver.jwt....同时,定义了一个白名单,其中所有以 `/public/` 开头的路径都不需要进行认证。您可以根据需要修改这些配置
vben admin白名单配置
03-20
为了解决这一问题,我们需要对Vben Admin框架中的路由白名单进行合理的配置。 #### 二、白名单配置原理与目的 路由白名单是指无需经过身份验证即可直接访问的URL列表。通过设置路由白名单,我们可以让某些特定的...
uniapp白名单-测试代码
04-07
在这个主题中,“uniapp白名单”是关键概念,它涉及到uniapp的安全配置和应用权限管理。 1. **uniapp框架概述** - uniapp是由DCloud(即数字天堂)开发的开源项目,基于Vue.js构建,提供了一套完整的开发工具链和...
Java的若依框架白名单接口放在哪个类里面
11-20
关于Spring Security在若依框架(Ruoyi)中的使用情况,若依框架本身并不直接提供白名单接口管理,但通常情况下,Spring Security会与若依的安全模块集成。白名单策略(允许特定URL访问)可能会在`...
若依后端gateway模块配置白名单
sf1234666的博客
08-07 1万+
若依后端gateway模块配置白名单
若依如何释放白名单接口
MMF博客园
04-28 851
若依如何释放白名单接口
记一次若依框架添加白名单失效解决办法
Leiou_1的博客
02-27 3643
项目中有接口不需要token校验,需要不登录就可以访问,我将这个接口加入了SecurityConfig的.antMatchers("/files/**").anonymous()中(图一),然后直接访问,还是回提示没有权限(图二)
RuoYi-Vue Spring Security 配置介绍
Gblfy_Blog
07-31 1231
Spring Security
ruoyi定时任务加白名单
cheng_ji的专栏
12-19 674
这时就需要在com.cnki.common.constant.Constants里添加上自定义任务类的包。提示新增任务***失败,目标字符串不在白名单内。然后再添加任务就可以了。
报错:Error creating bean with name ‘requestMappingHandlerMapping‘ defined in class path resource解决方法
SSHLY3的博客
07-21 5274
异常时,一般是出现在项目生成代码后重新启动,由于有表名类似的情况,所以对应的表在生成控制器后,请求路径有可能会完全一样,这样就导致了发生此类异常的情况。里面有完全一样的请求路径,从而导致了以上层层异常,所以,直接去对应的控制器修改一下最上面的总路径即可。其实报错信息继续往下看,就可以看到在控制台在报告,说。当项目启动报错信息首先出现这。
若依ruoyi框架实现单点登录或者接入统一认证
热门推荐
GitHub质检员
08-30 1万+
log.info("单点登录用户[{}]不存在, 需要创建.", loginName);log.info("单点登录用户[{}]已存在.", loginName);jsonObjectData.put("nickName","单点1");if (code.equals("0")) {//验证成功需要自动登录。jsonObject.put("msg","验证成功");ajax.put("msg", "登录成功");
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值