之前能编译通过的文件，莫名其妙就不能运行，并报了以下错误：

 'url' attribute is not specified and no embedded datasource could be configured.

原因：

     编译生成target中的classes目录下没有自动生成resources目录中的资源文件。

解决办法：

第一种方式，clean之后，再compile，重新生成target目录。

第二种方式，选择这个module，鼠标右键-->选择rebuild ，重构这个module。

第三种方式，把resources目录下的资源手动复制到target的classes目录中。

前言

在web项目交付阶段，很多交付的小伙伴们会面临的一个问题就是安全漏洞扫描，关于安全漏洞问题，可以分为很多种，但从扫描者的角度，一旦他们认为你的后端服务接口暴露的太多，或过于明显，或没有前置的安全措施（通过登录的方式）就能拿到后台的数据，这样显然是不合理的，一旦扫出这样的接口，那么面临的一个问题就是，解决接口暴露的问题

关于这个问题，其实说起来，还是跟系统在一开始的规划设计阶段的安全考虑不够完备，比如你的后台项目是否需要做必要的鉴权，是否集成了第三方安全框架等，如果在项目框架搭建之初，就能考虑到这些问题，相信在后续的交付阶段，就不必担心接口的安全漏洞问题

但不管如何，一旦出现了，既然不能推倒重来，我们还必须要想办法快速补救，下面就本人在项目交付阶段的一点零碎的经验，针对这个问题，做一点技术实现方案的总结

方案1：使用过滤器

这种方式最简单，对大多数程序员来说，也最容易实现，只需要在一个自定义过滤器中，针对所有请求后端服务的url做拦截，对后端所有的URL进行分类，不同的url必须要经过什么样的校验才能通过，这种方式比较简单，就不再做代码层面的展示了

方案2：使用拦截器

先贴上代码

package com.congge.interceptor;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class MyInterceptor implements HandlerInterceptor {

    public static Logger logger = LoggerFactory.getLogger(MyInterceptor.class);

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        logger.info("执行 preHandle:{}",request.getRequestURI());
        //TODO 这里可以是token，权限等前置业务的处理......
        response.getWriter().write("you have no access");
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        logger.info("执行 preHandle");
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        logger.info("执行 afterCompletion");
    }

}

package com.congge.interceptor;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

@Configuration
public class MyWebmvcConfig extends WebMvcConfigurationSupport {

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new MyInterceptor())
                .addPathPatterns("/user/**", "/admin/**", "/account/**")    //哪些路径要拦截
                .excludePathPatterns("/open/api/**");                         //哪些逻辑不需要做拦截
    }

    /**
     * 静态资源的访问
     * @param registry
     */
    @Override
    protected void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**")
                .addResourceLocations("classpath:/static/");
        registry.addResourceHandler("/templates/**")
                .addResourceLocations("classpath:/templates/");
        super.addResourceHandlers(registry);
    }

}

定义一个拦截器，实现HandlerInterceptor接口，在重新的方法中，编写自身校验权限，token等逻辑，如果返回false，请求直接结束，否则可以进入后续的接口资源访问，以文中的配置为例，我们分别访问一下2个接口

上面这种方式的改造成本比较小，实现难度也很小，可以作为第一选择

方案3：集成shiro

相信很多小伙伴都用过shiro，shiro是一个小巧适用的安全框架，但实际上来说，在和后端项目进行集成时，很多前置的配置工作要做，而且和数据库的权限认证那一套的表结合的很紧密，如果不是在设计之初就集成的话，这个改造的难度和复杂度还是比较大的，慎用

方案4：集成spring-security

一听到spring-security，很多同学开始谈虎色变了，spring-security在后端的框架中算是比较复杂，也比较重型的框架了，学习成本是比较高的，但经过本人的研究发现，如果并不打算完全将spring-security的安全体系替换现有的代码逻辑时，可以借助其部分针对接口资源的权限控制功能，完全可以达到本篇问题的目的，下面通过2种方式来快速说明下

导入security依赖

		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

方式1：直接引用上面的依赖之后，在配置文件中做简单的配置即可

#手动设置登录用户名和密码
spring.security.user.name=admin
spring.security.user.password=admin

引入依赖之后，项目启动之后，访问后端接口时，所有的请求都要经过spring-security的默认登录页面，因此上述配置文件中配置的用户名和密码即为登录的用户名和密码

当我们再次访问上面的接口时，就会弹出下面的登录页面

输入:root/root，即可正常访问接口了

但这种方式的使用场景比较有限，使用的时候请慎重考虑

方式2：使用spring-security的安全配置策略

spring-security集成了很多功能，比如像权限，角色控制等，一般来说，任何系统的登录功能是必不可少的，因此可以借助系统现有的登录登录，再融入spring-security的登录认证即可满足

实现起来，主要包括如下几点，

1）自定义UserDetailsService，即实现UserDetailsService接口

@Configuration("userDetailsService")
public class MyUserDetailService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper<MyUser> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("username",username);
        MyUser myUser = userMapper.selectOne(queryWrapper);
        if(myUser==null){
            throw new RuntimeException("该用户不存在");
        }
        List<GrantedAuthority> roles = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User(username,new BCryptPasswordEncoder().encode(myUser.getPassword()),roles);
    }
}

2）自定义配置类，继承WebSecurityConfigurerAdapter，根据需要重写里面的相关方法即可

@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired
private MyUserDetailService userDetailService;

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailService).passwordEncoder(password());
}

@Bean
public PasswordEncoder password() {
    return new BCryptPasswordEncoder();
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
                .loginPage("/login.html")                       //自定义的登录界面
                .loginProcessingUrl("/user/login")              //登录提交的接口
                .defaultSuccessUrl("/zcy/index").permitAll()    //登录成功之后默认的跳转路径
            .and().authorizeRequests()                           //自定义受保护的URL资源
                .antMatchers("/","/user/login","/open/api/**")
                .permitAll()                                    //设置那些URL路径可以直接访问，不需要认证
                .anyRequest().authenticated()                   //除了上面其他的URL资源都受保护
            .and()
                .csrf().disable();                              //关闭CSRF防护
}

}

关于上面的这段配置，相信的使用说明，有兴趣的同学可以参考我的专栏文章：spring-security

总体的逻辑就是，在自定义的MyUserDetailService 中，完成登录的业务，只有查到访问资源的请求用户存在才会进入到下一步，当然在这个类中，可以结合现有系统的角色，权限体系做进一步的整合，而MySecurityConfig这个类，控制对访问的URL做保护，规定了哪些URL需要走登录认证，哪些可以不用认证等配置信息

启动项目之后，让我们来做一下测试吧，分别访问一下下面的接口

http://localhost:8081/open/api/user-info
http://localhost:8081/account/get/list

接口1可以直接访问，因为在配置类中对接口直接放行了

访问接口2的时候，弹出了如下的自定义登录页面


在数据库中有这样一个用户，我们输入用户名和密码,就可以访问到该接口了

本篇总结了几种常用的限制访问后端URL的方式，希望对看到的小伙伴们有用，本篇到此结束，最后感谢观看！

问题描述:

项目中遇到一个问题,需要向第三方系统提供的Url地址以post方式发送表单信息来测试接口,这让web经验不足的我犯难了,最后通过分析后拆解问题,找到了两种测试接口的办法;

问题分析:

提交表单到指定Url,正常操作是前端写一个按钮,然后点击则会提交表单对象传递给后端;

<input   type="button"   value="提交" >

这个流程也就是浏览器向服务器的指定资源路径下发送post请求:

抛去旁支末节,简单来说这个需求就是web开发中最基本的功能实现:用浏览器向服务器发请求

​ 所以可以得到解决方案有两种:

​         1.后台模拟浏览器向指定Url发送post方式的请求数据,这里采用的解决方案是Apache基金会HttpComponents项目,模拟浏览器对服务器发起请求;

​         2.写个HTML用浏览器模拟发送请求,具体做法是:页面加载函数中绑定submit()自动提交form表单到指定Url;

HttpComponents项目的一些介绍 官网地址:(http://hc.apache.org/);
Apache开源组织中的HttpComponents，主要是提供对http服务器的访问功能;

在某些时候可能需要通过程序来访问别人的网页程序，比如从别人的网页中“偷”一些数据。如果对方仅仅是一个很简单的页面，那我们的程序会很简单。但是考虑到一些服务授权的问 题，很多公司提供的页面往往并不是可以通过一个简单的URL就可以访问的，而必须经过注册然后登录后方可使用提供服务的页面，这个时候就涉及到 COOKIE问题的处理。我们知道目前流行的动态网页技术例如ASP、JSP无不是通过COOKIE来处理会话信息的。为了使我们的程序能使用别人所提供的服务页面，就要求程序首先登录后再访问服务页面！再比如通过HTTP来上传文件呢？

HttpComponents项目就是专门设计来简化HTTP客户端与服务器进行各种通讯编程。通过它可以让原来很头疼的事情现在轻松的解决，例如你不再管是HTTP或者HTTPS的通讯方式，告诉它你想使用HTTPS方式，剩下的事情交给 httpclient替你完成。

问题解决:

方案一:使用HttpComponents项目来实现"通过程序来访问服务器资源";

1.手动创建的项目需要Apache基金会的开源项目 HttpComponents 项目的支持,下载对应的项目版本.我这里使用的是 httpcomponents-client-4.5.12-bin 版本,然后建立项目的jar包依赖;

2.如果是maven项目,跳过步骤1,直接导入依赖坐标即可

<dependency>
   <groupId>org.apache.httpcomponents</groupId>
   <artifactId>httpclient</artifactId>
   <version>4.5.12</version>
</dependency>

3.下面是一个简单的测试类:

import java.io.InputStream;
import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.List;
import org.apache.http.HttpEntity;
import org.apache.http.HttpResponse;
import org.apache.http.NameValuePair;
import org.apache.http.client.HttpClient;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.message.BasicNameValuePair;
import org.apache.http.protocol.HTTP;
import org.apache.http.util.EntityUtils;

public class HttpComponentsPostTest {

    @SuppressWarnings({ "unused", "deprecation" })
    public static void main(String[] args) throws Exception {
        HttpPost post = new HttpPost("http://apis.juhe.cn/simpleWeather/query");
        // 添加参数
        List<NameValuePair> params = new ArrayList<NameValuePair>();
        params.add(new BasicNameValuePair("key", "68d7b52b0e37a602fac910e02d521994"));
        params.add(new BasicNameValuePair("city", "北京"));
        post.setEntity(new UrlEncodedFormEntity(params, HTTP.UTF_8));
        // (3) 发送请求
        HttpClient http = new DefaultHttpClient();
        HttpResponse response = http.execute(post);	 
        if (response.getStatusLine().getStatusCode() == 200) {
            HttpEntity resEntity = response.getEntity();
            String message = EntityUtils.toString(resEntity, "utf-8");
            System.out.println(message);
        } else {
            System.out.println("请求失败");
        }
        System.out.println("响应状态信息为"+response.getStatusLine());
    }
}

运行得到的结果如下,说明响应成功;

方案二:写个HTML用浏览器模拟发送请求,具体做法是:页面加载函数中绑定submit()自动提交form表单到指定Url;

<!DOCTYPE html>
<html>
	<head>
		<title>测试北京天气的页面</title>
	</head>
	
	<body>
	
		<form id="cmbform" action="http://apis.juhe.cn/simpleWeather/query" method="POST" >
			<input type="hidden" name="key" value="68d7b52b0e37a602fac910e02d521994" />
			<input type="hidden" name="city" value="北京" />
		</form>
		
		<script type="text/javascript">document.getElementById('cmbform').submit();</script>
		
	</body>

</html>

保存后打开该文件,得到如下结果:

同样可以实现对服务器资源路径的请求.

参考链接:
https://blog.csdn.net/ethan__xu/article/details/82850989
https://blog.csdn.net/wjrong_1/article/details/51114233?utm_medium=distribute.pc_relevant.none-task-blog-title-2&spm=1001.2101.3001.4242