若依去掉鉴权,允许外部访问(java后端)

在SpringSecurity中调整匿名访问权限及PermissionService实现
最新推荐文章于 2025-10-09 09:39:09 发布
原创 最新推荐文章于 2025-10-09 09:39:09 发布 · 4.1k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #后端

本文介绍了如何在SpringSecurity的SecurityConfig中修改匿名访问设置,将`/login`和`/captchaImage`的匿名访问权限移除,仅对`/admins/**`路径开放。同时,文中展示了如何修改PermissionService中的hasAnyRoles方法,使其始终返回true,以便于访问控制。

1.SecurityConfig中配置匿名访问

注释掉

.antMatchers("/login", "/captchaImage").anonymous()

 修改为

.antMatchers("/admins/**").anonymous()

具体位置如图:

 2.修改PermissionService

注释掉其中的hasrole方法,返回值false改为返回true;

public boolean hasAnyRoles(String roles)
    {
        if (StringUtils.isEmpty(roles))
        {
//            return false;
            return true;
        }
        LoginUser loginUser = tokenService.getLoginUser(ServletUtils.getRequest());
//        if (loginUser==null || CollectionUtils.isEmpty(loginUser.getUser().getRoles()))
//        {
//            return false;
//        }
//        for (String role : roles.split(ROLE_DELIMETER))
//        {
//            if (hasRole(role))
//            {
//                return true;
//            }
//        }
        return true;
//        return false;
    }

图片:

重启项目,即可访问成功

本文仅为学习和研究目的而提供,不涉及任何商业应用。我们坚决反对任何形式的侵权行为,并尊重他人的知识产权。若您发现本文内容存在任何侵犯您权益的情况,请通过电子邮件联系我们:2907205361@qq.com。我们将尽快处理并采取措施,以确保知识产权得到妥善保护。感谢您的理解和支持。

若依源码解析:RuoYi-Vue权限系统设计
程序员诚哥
05-11 6541
若依(RuoYi)是一款基于Spring Boot和Vue.js开发的快速开发平台,它的权限管理是通过RBAC(Role-based Access Control 基于角色的访问控制)模型来设计的。RBAC模型将权限控制分为角色管理和权限管理两个部分。在若依中,角色是指对系统的一类用户或操作者的定义,而权限是指对系统中某个资源或操作的访问控制。通过为每个角色分配相应的权限,可以实现对系统的全面管理和控制。
若依微服务版怎样修改Nacos中配置文件使Url不受权限认证跳过Token验证
BADAO_LIUMANG_QIZHI的博客
11-27 4170
场景 若依微服务版手把手教你本地搭建环境并运行前后端项目: https://blog.youkuaiyun.com/BADAO_LIUMANG_QIZHI/article/details/109363303 在上面将若依微服务版成功搭建并运行后,如果想在服务中写一个开放的接口,可以跳过权限认证,不用登陆,不用携带Token就能访问。 注: 博客:https://blog.youkuaiyun.com/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书、教程推送与免费下载。 实现 若.
ruoyi(若以)关闭权限校验-controller层
最新发布
accolade1的博客
10-09 244
背景:由于项目有的接口需要用于其它的功能,特定的controller路径需要关闭权限校验。ruoyi version:未知,较老,springboot是2.3左右,java8。直接在idea里面搜索:(快捷键Ctrl+Shift+F,也可以直接项目右键)主要是使用spring security配置。添加需要关闭的权限校验的代码。
若依管理系统RuoYi-Vue(二):权限系统设计详解
周红伟讲AI
11-09 1万+
本篇文章试图讲解若依Vue系统中的权限设计原理以及实战,为什么是“试图”?因为这也是摸索着理解的,不一定准 若依Vue系统中的权限管理部分的功能都集中在了系统管理菜单模块中,如下图所示。其中权限部分主要涉及到了用户管理、角色管理、菜单管理、部门管理这四个部分。 一、若依Vue系统中的权限分类 根据观察,若依Vue系统中的权限分为以下几类 菜单权限:用户登录系统之后能看到哪些菜单 按钮权限:用户在一个页面上能看到哪些按钮,比如新增、删除等按钮 接口权限:用户带着认证信息请求后端接口,是否有权限
RUOYI 若依去掉权限,让外部网站调用
热门推荐
weixin_45204213的博客
10-25 1万+
1、如下图: 具体在代码中的位置为:ruoyi-framework\src\main\java\com\ruoyi\framework\config\SecurityConfig.java 修改为如图所示: 2、去掉代码中所有的权限注解:@PreAuthorize 3、找到ruoyi-framework\src\main\java\com\ruoyi\framework\web\service\PermissionService.java类,注释掉其中的hasrole方法,建有有的返回false改为返回
RUOYI 若依去掉权限,实现无权限访问
weixin_47766381的博客
04-10 5771
RUOYI 若依去掉权限,实现无权限访问
Jeecg-Boot 开放接口开发实战:在 Jeecg-Boot 的jeecg-system-biz中添加一个controller 实现免数据接口
编程技术探索者,分享C/C++、C#、Java、数据库等开发经验,聚焦实战技巧与AI兴趣,助力编程爱好者成长。
03-01 1711
Jeecg-Boot 开放接口开发实战:在 Jeecg-Boot 的jeecg-system-biz中添加一个controller 实现免数据
基于springcloud接口
awoshiwpl的博客
09-29 1673
梳理一下流程 1.调用方需要获取到token(由code和secret和随机数加密生成) 2.调用接口前先通过服务端的要求传入相应的数据生成token,调用接口时把token传入 3.由服务端接收到token进行验证 4.验证成功后对url进行 接口信息以及权限信息回放在数据库中(mysql以及redis) 资源信息表 调用方身份表;java后端、app端、H5…要进行区分 中间表;每种身...
Java八股文总结大全(新版)
2301_78976656的博客
08-27 1381
官方解释1,Spring创建 bean主要分为两个步骤,创建原始bean对象,接着去填充对象属性和初始化。2,每次创建 bean之前,我们都会从缓存中查下有没有该bean,因为是单例,只能有一个。3,当创建 A的原始对象后,并把它放到三级缓存中,接下来就该填充对象属性了,这时候发现依赖了B,接着就又去创建B,同样的流程,创建完B填充属性时又发现它依赖了A又是同样的流程,不同的是:这时候可以在三级缓存中查到刚放进去的原始对象A。
若依前后端分离版源码分析-前端头像上传后传递到后台以及在服务器上存储和数据库存储设计
BADAO_LIUMANG_QIZHI的博客
08-27 7836
场景 使用若依前后端分离版本时,分析其头像上传机制。 可作为续参考学习。 注: 博客:https://blog.youkuaiyun.com/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书、教程推送与免费下载。 实现 首先是前端,登录成功点击个人中心 对应的代码为 <el-dropdown class="avatar-container right-menu-item hover-effect" trigger="click"...
[Java后端面经]-自用牛客大中小厂一面二面三面实习or正式批-
XYC的学习经验博客
09-13 6965
后端开发面经
若依框架前后端分离版去掉权限控制
02-14
### 移除若依框架前后端分离版本中的权限控制 在若依框架的前后端分离版本中,权限控制系统主要由Spring Security实现。要完全移除该系统的权限控制功能,需要对多个部分进行调整。 #### 修改前端代码 对于前端而...
ruoyi框架源码阅读之--Anonymous注解 允许 匿名访问
攻城狮的博客
03-22 5356
这个值得一看,好像还可以拿到其他项目直接用/*** 匿名访问注解说不定会用的到,记录一下。
若依vue3访问第三方接口实现方法
dxmizhang的博客
07-21 1123
/console.log("request.js 创建axios实例 requestbaseURL="+requestbaseURL)console.log("requestNew.js 拦截前config.body="+ config.body )// 限制存放数据5M。console.log("requestNew.js 拦截前config.headers=")
若依取消接口权限校验
紫月7575的博客
04-27 2876
找了半天,发现配置文件就可以设置了 在application.yml的security.excludes 中添加过滤的接口即可
若依代码生成,自定义的模块,添加公开接口
u012765781的博客
03-01 5798
效果 步骤: 1:项目中新建模块,并解决项目依赖的关系 新建一个名为ruoyi-student的模块: 我们要在 RuoYi 整个项目下的pom.xml中引入刚刚新建的模块:(加入了才能识别出模块) 还需要在ruoyi-admin这个模块的pom.xml中引入刚刚新建的模块。(加入了才能访问路由) 由于自动生成的代码会用到ruoyi-common中的内容,我们需要将ruoyi-common引入到我们新建的模块中:(不做这个后面代码会报错,也会自动引入) 2:若依系统中新建一个目录 - ..
若一前后端分离系统增加调用第三方接口的功能
lijinlong832的博客
03-29 2919
到这里配置已经完成,可以直接调用了 ,因为我这个调用的是Python的接口,Python又调用的别的接口,所以超时时间有点长,大家可以自己修改.因为公司用的时若一的框架,比较常用,为了方便以后查看做此总结,这里调用第三方接口,使用的是。这里就调用成功了,如果需要设置请求头,请自行添加。首先是restTemplate的配置。
若依框架对外开放api
yuguang的博客
03-20 3162
【代码】若依框架对外开放api。
若依前后端分离运行和接口生成
qq_45342564的博客
01-23 1016
若依项目框架和接口代码生成
若依需要的模块去掉
03-11
<think>嗯,用户想在若依系统中移除特定模块的功能。首先,我需要回忆一下若依系统的权限管理是怎么设计的。根据引用[3],若依的权限控制主要在SecurityConfig.java里配置,可能用的是Shiro或者Spring Security。用户提到要修改认证的位置,这里可能需要调整安全配置,排除某些路径。 然后,用户想去除特定模块的权限验证。根据引用[3]中的例子,修改SecurityConfig.java中的antMatchers,添加需要放行的路径。比如,如果模块的API路径是/api/module/**,就需要在这里配置.permitAll()。同时,引用[4]提到application.yml和数据库配置,可能还需要检查配置文件中的相关设置,确保没有其他权限拦截。 接下来,考虑前端是否有权限控制。如果前端有菜单或按钮的权限判断,可能需要修改前端代码,移除对应模块的权限校验,如v-hasPermi指令。不过用户的问题主要是系统级,可能前端改动不是重点。 另外,引用[5]提到AndroidManifest.xml的权限修改,虽然这里不相关,但思路类似,即修改配置文件。需要确保所有相关的接口路径都被排除在之外,避免遗漏。比如,用户模块可能有多个API路径,都要添加到放行列表里。 测试也是关键。修改后需要重启系统,访问目标模块,确认无需登录即可访问。如果有问题,可能需要查看日志,检查是否有其他拦截器或过滤器生效。比如,除了Shiro或Spring Security的配置,是否还有AOP切面或其他自定义的权限检查。 最后,提醒用户注意安全风险,去除会暴露接口,需谨慎处理。参考引用[4]中的漏洞提醒,确保不会引入安全问题。可能需要补充其他安全措施,比如IP白名单或接口令牌验证。</think>### 分步解决方案:移除若依系统指定模块的权限验证 #### **步骤1:定位权限配置核心文件** - 若依系统的权限控制核心配置文件为: ```java ruoyi-framework/src/main/java/com/ruoyi/framework/config/SecurityConfig.java ``` 该文件通过Spring Security或Apache Shiro实现请求拦截[^3][^4]。 #### **步骤2:修改安全配置类** 在`SecurityConfig.java`中,找到`configure(HttpSecurity http)`方法,添加需要排除的模块路径: ```java protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() // 放行公共资源 .antMatchers("/login", "/captchaImage").permitAll() // 新增需要放行的模块路径(示例) .antMatchers("/api/moduleA/**", "/moduleB/queryData").permitAll() // 其他请求需认证 .anyRequest().authenticated() .and() // 禁用CSRF .csrf().disable(); } ``` 其中`/api/moduleA/**`表示该模块下所有接口无需[^3][^5]。 #### **步骤3:检查数据库权限配置** - 登录若依后台管理系统(默认账号`admin/admin123`) - 进入 **系统管理 > 菜单管理**,找到目标模块对应的菜单项 - 删除关联的权限标识(如`system:module:list`),或取消菜单绑定角色 #### **步骤4:验证前端权限指令** 若前端使用`v-hasPermi`等指令控制按钮级权限,需修改对应Vue文件: ```vue <!-- 原始代码 --> <button v-hasPermi="['system:module:edit']">编辑</button> <!-- 修改后 --> <button>编辑</button> ``` #### **步骤5:配置白名单路径(可选)** 在`application.yml`中检查额外拦截器配置,确保无冲突设置: ```yaml # 若存在自定义拦截器配置 ignore: urls: /static/**, /api/moduleA/** ``` #### **步骤6:重启并测试验证** 1. 清理项目并重新编译 2. 访问目标模块接口/页面,确认无需登录即可访问 3. 使用Postman测试API接口的401响应是否消失 #### **注意事项** 1. 安全风险:开放接口需评估业务敏感性,建议结合IP白名单或接口令牌二次验证 2. 日志监控:开启安全审计日志,监控异常访问行为 3. 灰度发布:建议先在测试环境验证,再部署到生产环境
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值