前言

  目前最流行的两大安全框架:SpringSecruity、Shiro

  权限控制,无非就是:前端控件是否可见、是否允许请求/访问URL

  本文分享一个简单的URL访问权限校验,支持/、/*、/**等情况

  代码

package cn.huanzi.qch.baseadmin.util;/**

 * 一个简单的URL访问权限校验工具类

 */

public class UrlSecurityUtil {

    /**

     * 检查requestUri是否包含在urls中

     */

    public static boolean checkUrl(String requestUri,String[] urls){

        //对/进行特殊处理

        if("/".equals(requestUri)){

            return false;

        }

        String[] requestUris = requestUri.split("/");

        for (int i = 0; i < urls.length; i++) {

            if(check(requestUris,urls[i].split("/"))){

                return true;

            }

        }

        return false;

    }

    private static boolean check(String[] requestUris,String[] urls){

        for (int i1 = 0; i1 < requestUris.length; i1++) {

            //判断长度

            if (i1 >= urls.length){

                return false;

            }

            //处理/*、/**情况

            if("**".equals(urls[i1])){

                return true;

            }

            if("*".equals(urls[i1])){

                continue;

            }

            //处理带后缀

            if(requestUris[i1].contains(".") && urls[i1].contains(".")){

                String[] split = requestUris[i1].split("\\.");

                String[] split2 = urls[i1].split("\\.");

                // *.后缀的情况

                if("*".equals(split2[0]) && split[1].equals(split2[1])){

                    return true;

                }

            }

            //不相等

            if(!requestUris[i1].equals(urls[i1])){

                return false;

            }

        }

        return true;

    }

}

  测试、效果

    public static void main(String[] args) {

        //无需权限即可访问的URL

        String[] urls = {"/a/js/*.js","/a/img/**"};

        //给用户配置的URL访问权限

        HashMap<Object, Object> user = new HashMap<>();

        user.put("username","张三");

        user.put("urls",new String[]{"/b/b1","/c/*","/d/**"});

        //满足其中一种情况,就允许访问

        String[] urlz = {

                "/",

                "/a/js/layui.js",

                "/a/js/layui.css",

                "/a/img/a/a.jpg",

                "/a/img/a1.png",

                "/b/b1",

                "/b/b2",

                "/c/c1",

                "/c/c1/c2",

                "/d/d1/d2",

        };

        for (String url : urlz) {

            boolean flag = UrlSecurityUtil.checkUrl(url,urls) ||

                    UrlSecurityUtil.checkUrl(url,(String[])user.get("urls"));

            System.out.println(url+","+(flag ? "允许访问!" : "无权访问..."));

        }

    }

  后记

  有了基础的URL权限控制后,可以配置成一个权限key对应多个URL,然后把权限key配给用户:

{

    "ROLE_SA":{

        "/a/a1",

        "/b/*",

    },

    "ROLE_USER":{

        "/c/c1",

        "/d/*",

    }

}

  有了权限key基础后,可以配置成一个角色对应多个权限key,然后把角色配给用户:

{

    "部门经理":{

        "ROLE_SA",

        "ROLE_USER",

    },

    "普通员工":{

        "ROLE_USER",

    }

}

  万丈高楼平地起,有了这些基础,一套权限管理系统也就不远了

一个简单的URL访问权限校验的更多相关文章

  1. 用Lua控制Nginx静态文件的url访问权限

    需求背景:比如我们有一个存储文件的web服务器,一般通过url可直接访问到:http://127.0.0.1/uploads/test.rar,如果我们需要限制别人的访问,可以通过添加lua脚本来控制 ...

  2. Android 在 SElinux下 如何获得对一个内核节点的访问权限【转】

    本文转载自:https://blog.csdn.net/wh_19910525/article/details/45170755 Android 5.0下,因为采取了SEAndroid/SElinux ...

  3. 利用JS跨域做一个简单的页面访问统计系统

    其实在大部分互联网web产品中,我们通常会用百度统计或者谷歌统计分析系统,通过在程序中引入特定的JS脚本,然后便可以在这些统计系统中看到自己网站页面具体的访问情况.但是有些时候,由于一些特殊情况,我们 ...

  4. Android 在 SElinux下 如何获得对一个内核节点的访问权限

    点击打开链接 Android 5.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问. 本文将以用户自定义的 ...

  5. Android 5.0 SEAndroid下如何获得对一个内核节点的访问权限

    -9]* u:object_r:tty_device:s0 # We add here /dev/wf_bt              u:object_r:wf_bt_device:s0 wf_bt ...

  6. 使用 Suricata 进行入侵监控(一个简单小例子访问百度)

    前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDS.IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐) 1.自己编写一条规则,规则书写参考snort规则(suricata ...

  7. 一个简单的以User权限启动外部应用程序(用NetUserAdd函数和USER_INFO_1结构体动态添加用户,然后用CreateProcessWithLogonW启动程序)

    版权声明:本文为博主原创文章,未经博主允许不得转载. BOOL ExecuteAsUser(LPCWSTR lpszUserName, LPCWSTR lpszPassword, LPCWSTR lp ...

  8. 一个简单的以User权限启动外部应用程序

    BOOL ExecuteAsUser(LPCWSTR lpszUserName, LPCWSTR lpszPassword, LPCWSTR lpszApplication, LPCWSTR lpsz ...

  9. spring security实现简单的url权限拦截

    在一个系统中,权限的拦截是很常见的事情,通常情况下我们都是基于url进行拦截.那么在spring security中应该怎么配置呢. 大致步骤如下: 1.用户登录成功后我们需要拿到用户所拥有的权限,并 ...

随机推荐

  1. Jenkins配置下拉菜单联动效果

    在使用Jenkins集成时,经常需要配置一些环境信息,由于测试.线上.预发布需要切换环境和域名,需要在Jenkins中配置下拉菜单联动效果. 首先选择参数化构建过程,然后首先配置环境,环境分为:测试环 ...

  2. C/C++入门

    C:面向过程-函数 C++:面向对象-类:向下兼容C 程序包含头文件+主函数 简单数据类型 long long型赋超过int型范围的初值,需要在初值后面加上LL,否则可能会编译错误 不要使用float ...

  3. 自学linux——19.TFTP服务器的搭建

    TFTP服务器的搭建 1.TFTP的认识 TFTP(Trivial File Transfer Protocol)简单文件传输协议,是一种基于UDP协议在客户端和服务器之间进行简单文件传输的协议,不需 ...

  4. vivo 全球商城:优惠券系统架构设计与实践

    一.业务背景 优惠券是电商常见的营销手段,具有灵活的特点,既可以作为促销活动的载体,也是重要的引流入口.优惠券系统是vivo商城营销模块中一个重要组成部分,早在15年vivo商城还是单体应用时,优惠券 ...

  5. (纯js)如何不刷新网页就能链接新的js文件

    如何不刷新网页就能链接新的js文件,其实在HTML语言中已经有相关的函数了,就是再添加一个<script src=.....></script>. 函数叫document.bo ...

  6. git 强制放弃本地修改(新增、删除文件)

    本地修改了一些文件,其中包含修改.新增.删除的. 不需要了,想要丢弃,于是做了git check -- .操作,但是只放弃了修改的文件,新增和删除的仍然没有恢复. 于是百度了下,使用如下命令: git ...

  7. Java入门姿势【面向对象3】构造方法及其重载_方法的调用

    上次我为大家写出啦"定义类与创建对象_了解局部变量",上篇文章代码可能较多,如没有了解透彻的话请打开下方文章在进行观看一下哦!! [Java入门姿势[面向对象2]定义类与创建对象_ ...

  8. NOIP 模拟 $31\; \rm Cover$

    题解 \(by\;zj\varphi\) 因为对于所有区间,都只有包含和被包含关系,这就是一个树形结构. 设 \(\rm f_{i,j}\) 表示在第 \(\rm i\) 个节点,最多被覆盖 \(\r ...

  9. 痞子衡嵌入式:其实i.MXRT下改造FlexSPI driver同样支持AHB方式去写入NOR Flash

    大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家介绍的是i.MXRT下改造FlexSPI driver以AHB方式去写入NOR Flash. 痞子衡前段时间写过一篇 <串行NAND Fl ...

  10. 在ASP.NET Core调用WebService

    一.前言 现实生产中,有一些比较老的系统对外提供的接口都是WebService形式的,如果是使用.NET Framework创建的项目调用WebService非常方便,网上有很多代码示例,这里不在讲解 ...