前段时间咱们写一个简单的后台模板SpringBoot系列——Security + Layui实现一套权限管理后台模板,今天咱们把它完善成一个简单通用的后台管理系统,我把它叫作:Base Admincss
这套Base Admin是一套简单通用的后台管理系统,主要功能有:权限管理、菜单管理、用户管理,系统设置、实时日志,API加密,以及登陆用户修改密码、配置个性菜单等html
前端:layui前端
java后端:SpringBoot + Thymeleaf + WebSocket + Spring Security + SpringData-Jpa + MySqljava
java部分、html、js、css部分都是大目录下面按单表一个子目录存放git
(为了方便演示,密码输入框的类型改为text)github
配置文件分支选择,dev环境无需输入验证码web
同时支持多种登陆限制spring
更多登陆限制,还能够继续扩展sql
一下简单的系统属性设置,想支持更多的配置可自行扩展(好比这里的:用户管理初始、重置密码)数据库
菜单管理是一棵layui的Tree
权限的加载并非写死在代码,而是动态从数据库读取,每次调用save方法时更新权限集合
一、妲己是ROLE_USER权限,权限内容为空,无权访问/sys/下面的路径(http://localhost:8888/sys/sysUser/get/1)
二、使用sa超级管理员进行权限管理编辑,给ROLE_USER的权限内容添加 /sys/**,妲己当即有权限访问(http://localhost:8888/sys/sysUser/get/1)
主要包括用户信息、登陆限制的维护,菜单、权限的分配等
修改用户权限是下一次登陆生效
修改用户菜单是刷新系统便可生效
登陆用户只能修改部分信息,例如名称、修改密码
密码使用的是MD5加密并转换为16进制字符串存储,用户除了能主动修改密码外,还能叫管理员重置密码
用户能够自行配置本身的个性化快捷菜单
详情请看我以前的博客:SpringBoot系列——Logback日志,输出到文件以及实时输出到web页面
详情请看我以前的博客:先后端API交互数据加密——AES与RSA混合加密完整实例
请求参数加密
响应数据加密
一、定制url访问权限,动态权限读取,须要自定义配置认证数据源、认证管理器、拦截器,详情步骤请参考:https://www.jianshu.com/p/0a06496e75ea;
二、API加密中,因为登陆校验是Spring Security作的,所以咱们要在UsernamePasswordAuthenticationFilter获取帐号、密码以前完成解密操做,正好咱们的校验验证码操做就是在它以前,同时要作响应数据的加密操做,因此登陆部分的API加密光按照咱们以前的博客来仍是不够的,须要在CaptchaFilterConfig进行解密操做,解密后new一个自定义RequestWrapper设置Parameter,并将这个新对象传到doFilter交由下一步处理
2019-08-18补充:
三、仍是API加密问题,咱们是在程序启动的时候生成后端RSA秘钥对,正常来讲咱们在访问登陆页面进行登陆的时候前端获取一下就能够了,但在开发环境中,咱们一般开启热部署功能,改完代码程序可能会自动重启,但登陆用户信息仍然保持在本地线程,系统依旧处于登陆状态没有跳转到登陆页面,致使后端公钥已经改变,但前端依旧用的是旧的后端公钥,全部致使加解密失败;解决:在访问index首页时也获取一下后端公钥,这样在开发的时候idea热部署后刷新页面就能够了(已提交最新代码,解决热部署后刷新页面仍是API加解密失败问题;如今热部署后刷新页面便可)
这个只是一个比较简单通用的后台系统,若是加入工做流,就能够升级成基础平台,为简化业务开发,将部分通用系统功能整理成独立项目,具体业务功能经过iframe嵌入
2019-08-18吐槽:
今天改了个bug,来更新一下博客,忽然发现博客园把个人文章移出首页了...,我这篇文章排版整齐,也有足够的篇幅,发布不到一天就有两千多的阅读量,十九个推荐,还排在最多推荐榜第一,48小时阅读榜第三
开源不易,我不明白大家为何忽然把这篇文章移出首页,这让我对博客园感到很是失望
立刻发邮件反馈,竟然说内容不足??
这已经不是我第一次想吐槽博客园了,以前我有一篇关于爬虫的文章(免费IP代理池定时维护,封装通用爬虫工具类每次随机更新IP代理池跟UserAgent池,并制做简易流量爬虫),多是里面有讲如何刷博客园访问量,博客园竟然后面把个人文章移出首页,反馈后说,该类文章不能发表至首页
真的是对博客园有点失望
注:数据库文件在resources/static/sql目录下面
代码已经开源、托管到个人GitHub、码云: