SpringBoot可用的无数据库后台授权解决方案

已于 2023-02-05 14:38:12 修改
阅读量324 收藏
点赞数
分类专栏: JEES SPRINGBOOT Java 文章标签: Spring-Boot Powered by 金山文档
于 2023-02-05 12:37:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aiyoyoyo/article/details/128889395
版权
JEES 同时被 3 个专栏收录
17 篇文章 0 订阅
订阅专栏
Java
7 篇文章 0 订阅
订阅专栏
SPRINGBOOT
5 篇文章 0 订阅
订阅专栏
该方案提出了一种在无数据库环境下,通过ini文件配置后台管理程序的访问授权规则。配置包括URL、页面元素的授权,涉及用户、角色、IP黑名单等。主要类如VerifyService.java用于验证访问权限,SecurityService.java集成到SpringSecurity中。项目源码可在GitHub和Gitee找到,但警告此方法安全性未经严格验证,仅适用于学习交流。
摘要由CSDN通过智能技术生成

1、概述

此方案适用于无数据库环境的后台管理程序配置访问授权规则。

通过纯文件的配置方式,可以对请求的url以及页面中的元素配置独立授权。

2、配置方式

配置方案基于ini文件格式,除了url、元素授权部分是动态增加,其他配置项是固定结构的,注意不要遗漏,配置参考如下:

# 基于ini文件格式的配置方案
# 列表类型数据,均用,号分割
# 账号配置
[users]
# 用户名 = md5(密码)
admin = 456b7016a916a4b178dd72b947c152b7
# 角色配置
[roles]
# admin组为默认管理员组
admin = admin,other
# 黑名单配置
[black]
# 账号规则
user = 账号1,账号2
# 角色规则
role = 角色1,角色2
# ip规则
ip = 1.1.1.1,1.1.1.*,1.1.*,1.*
# 访问路径规则
# 全据授权 *为全允许,空白为全拒绝
[*]
user = *
# 根路径,需要登录才可以访问
[/]
user = *
[/access1]
# admin/角色manager可以访问
role = manager
[/access/access2]
# admin/lina/marry/john可以访问
role = manager
user = john
[/access3]
# 除了john,其他都可以访问
user = *
deny = john
[/anonymous]
# 无需登录,任何人都可以访问
anonymous = true
[/anonymous/*]
# 含下级路径,无需登录,任何人都可以访问
anonymous = true
# 页面元素访问规则,要配合thymeleaf标签属性使用
# <div class="CSS_BLOCK_ID" th:verify>
# <button id="BTN_CANCEL"/>
# <button id="BTN_SUBMIT" th:verify/>
# </div>
[/access/access2:.CSS_BLOCK_ID]
# div元素 admin/john/marry可以访问,lina不可以访问
role = manager
user = john
deny = lina
[/access/access2:#BTN_SUBMIT]
# button元素 admin/lina/marry可以访问,john不可以访问
deny = john

3、主要类和方法

VerifyService.java

// 在访问的url前,执行验证规则,true表示可以访问,false表示拒绝访问
// 页面元素th:verify不可访问时,直接不生成该元素
public boolean validate(HttpServletRequest request, Authentication authentication){
    String uri = request.getRequestURI();
    Object principal = authentication.getPrincipal();
    log.debug( "验证用户访问权限,访问地址=" + uri + ", 用户=" + principal );

    boolean result = false;
    // 1. 先验证页面是否允许访问: 匿名页面、错误页面、登录、注册、登出不验证是否登录
    boolean is_anonymous = this.validateAnonymous(uri);
    if( is_anonymous ){
        result = this.validateBlack(request, authentication);
        if( result ){
            return false;
        }
        return true;
    }
    int error_code = this.validateErrorPage(request,uri);
    if( error_code >= ICodeDefine.ErrorCode ){
        return true;
    }
    // 2. 验证页面是否需要登录访问
    if( principal instanceof SuperUser ){
        ServerMessage msg = new ServerMessage();
        // 3. 验证页面是否配置了访问权限
        result = this.validateBlack(request, authentication);
        if (result) {
            msg.setCode(ICodeDefine.User_IsBlack);
        } else {
            // 4. 验证用户是否有页面访问权限
            int code = this.velidateRequest(request, authentication);
            msg.setCode(code);
            result = code == ICodeDefine.SuccessCode;
        }
        log.debug( "验证结果:" + msg );
        request.getSession().setAttribute( ISupportEL.Message_EL, msg );
    }else{
        // 没有登录
    }
    if( !result ){
        result = this.validateAdministrator(authentication);
    }
    return result;
}

SecurityService.java

// 配置Spring Security时,增加验证规则
_hs.authorizeRequests()
                .and().authorizeRequests().anyRequest().access( "@verifyService.validate( request, authentication )" );

4、注意事项

上述功能仅适用于本地无数据的应用程序,授权功能未做严谨的验证,因此无法判断此方法是否安全,所以此方法仅供学习交流使用,使用时请自行判断使用场景是否合适。

5、项目参考地址

https://gitee.com/aiyoyoyo/jeesupport/tree/master/jees-webs

gitee的同步可能会晚于github,最新代码见:https://github.com/aiyoyoyo/jeesupport

另外,由于近期开发主体不在java这边,基于在线maven仓库的版本,最新版将不定时发布,无法正确引入版本的话,可以下载jeesupport项目,自行发布版本到本地仓库。

甲大赋
关注
专栏目录
SpringBoot项目取消数据库配置
简简单单Onlinezuozuo
11-06 2万+
SpringBoot项目取消数据库配置1. 错误springboot项目启动时,如果没有配置数据库配置,启动时会抛出如下异常。Description:Cannot determine embedded database driver class for database type NONEAction:If you want an embedded database please put a sup
高效处理矢量大数据的高可用解决方案
孙霸天的专栏
08-06 502
解决方案旨在处理海量矢量和栅格数据,实现高可用、高性能和高拓展性。通过PostgreSQL集群与PostGIS、GeoServer集群、Redis集群等构建,支持数据存储、分析与可视化。微服务架构保障模块解耦与动态扩容。通过条件和范围查询优化查询速度,从而满足大数据环境下的高效需求。
springboot不用数据库启动
m0_67401382的博客
04-25 2234
排除数据库启动springboot @SpringBootApplication(exclude={DataSourceAutoConfiguration.class,HibernateJpaAutoConfiguration.class})
SpringBoot快速配置(无数据库
qq_51554462的博客
01-03 881
StudentRepository 和 StudentRepositoryimpl。----------JSP表格----------------------------JSP表单------------------HelloHandler的增删改查。
Spring Boot项目实现无数据库启动
Tianl1997的博客
03-06 5712
Spring Boot项目实现无数据库启动
SpringBoot 项目排除数据库启动
emgexgb_sef的博客
08-24 3344
springboot项目启动时,会自动注入数据源。但是,我不需要连接数据库…没有配置数据库链接…启动时排除数据源注入。
springboot+layui+mybatis商城后台管理系统(带数据库完整可用
02-18
总的来说,这个"springboot+layui+mybatis商城后台管理系统"充分展示了SpringBoot的便捷性、Layui的易用性和MyBatis的灵活性,为开发者提供了一套完整的后台解决方案。无论是初学者还是有经验的开发者,都能从中学习...
基于springboot的学生选课系统源码数据库.zip
03-08
本项目是基于SpringBoot框架开发的一个学生选课系统,结合了Java编程语言、SSM(Spring、SpringMVC、MyBatis)架构以及MySQL数据库,为高校提供了高效、便捷的选课解决方案。本文将深入探讨该项目的关键技术和实现...
vue2+springboot后台整合框架.
10-09
【标题】:“vue2+springboot前...这个整合框架为开发者提供了一套完整的解决方案,使得开发人员可以快速搭建并部署项目,降低了开发难度,提高了开发效率。在实际应用中,开发者可以根据具体需求调整和扩展该框架。
基于springboot的社区医院管理系统源码数据库.zip
03-08
其强大的事务处理能力、高可用性和稳定性,使其成为社区医院管理系统理想的后台数据存储解决方案。开发者通过MyBatis框架与MySQL进行交互,可以编写灵活的SQL查询,满足系统各种复杂的数据操作需求。 在源码结构中...
ASP.NET免费公司网站,无数据库后台
01-04
ASP.NET开发的带后台公司网站,后台登录初始用户名和密码是admin admin,欢迎下载使用。
SpringBoot数据库增删改查 事务管理
06-18
SpringBoot数据库增删改查 事务管理
springboot项目不需要数据库的时候这样配置
最新发布
fengfeng99999的博客
03-15 1310
在Spring Boot应用程序的配置文件(application.properties或application.yml)中来禁用数据库自动配置。有些springboot项目,只是作为接口服务(算法类),不存数据,不取数据,可以把数据库配置给禁用掉,不然启动项目会自动加载数据库,没有数据库会报错。注解方式,在启动类里面有个注解@SpringBootApplication,只需要在注解后面加上下面的就可以了。
数据库版本最简单的登录注册后台系统--springboot版本
u012763405的博客
11-13 2159
简单的springboot 登录注册版本,让你感受springboot和注解的便利性 【准备工作】:postman--便于接口测试,idea社区版本或者旗舰版本,社区版本需要安装plug-in搜索spring assistant就可以。 【建立工程,搭好架构】:如图: 建立User类简单的几个属性 package com.zhangyiyi.chapter1.domain; pub...
SpringBoot中不配置数据库源报错问题
weixin_45734473的博客
10-02 941
SpringBoot中不配置数据库源报错问题
如何实现应用系统离线授权详解方案支持(SpringBoot、SpringCloud),可以防止修改系统的方式绕过授权
热门推荐
一恍过去
05-22 2万+
如何实现应用系统离线授权详解方案支持(SpringBoot、SpringCloud),可以防止修改系统的方式绕过授权
springboot管理系统(无数据库版本)
PyIDEA
04-24 627
springboot增删改查管理系统(无数据库版本) 目录截图 程序截图 Config 登录拦截器的配置 LoginHandlerInterceptor package com.atguigu.springboot.config; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet....
JAVA SpringBoot项目取消数据库配置
qq_44972707的博客
06-28 1236
JAVA SpringBoot项目取消数据库配置Description:Failed to configure a DataSource: ‘url’ attribute is not specified and no embedded datasource could be configured.Reason: Failed to determine a suitable driver class 2. 原因 SpringBoot 默认会注入数据源,如果不配置的化会报错。在启动类@SpringBootA
Springboot spring security 从数据库查权限
weixin_43763403的博客
05-12 695
spring security spring security 入门 先来说一下spring security的运行逻辑吧。 首先任何访问服务器的请求都会被拦截下来,之后由 spring security 进行判断什么样的请求能过,什么样的请求需要什面样的权限才能访问。而我们要做的就是配置一下这个请求需要的权限,听起来和拦截器差不多,但是 spring security 想的比较全面,而我们写的可能不够全面所以还是使用spring security框架更方便。 配置分几步。 首先要配置权限,什么样的路径
SpringBoot驱动的校企合作项目管理系统源码与数据库设计论文
本篇文档是关于基于SpringBoot的校企合作项目管理...本文的焦点在于实践应用,通过校企合作项目管理系统的设计和实现,展示了如何将理论知识转化为实际可用的软件解决方案,以培养学生的实际操作能力和团队协作精神。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值