Shiro眼皮下玩ajax,玩出302 Found(实践得经验)

时间:2022-02-19 15:30:12

  2017/06/14这一天,是我玩Shiro安全框架最刻骨铭心的一天。因为Shiro今天给我深深的补了一刀,在这儿我也给各位补一刀吧,其实问题很简单,解决方式也极其简单,只是给各位分享一下这个错误,纯属给各位长点经验值。

  之前自己搭建了一套系统拿来练手,将Shiro请到这套系统中作为了第一道防锁线,今天闲来无事想加个短信验证码上去,就登陆了中国建网,还好,之前玩剩下的还有3条短信,于是就小忙了起来,找到很久以前玩过的SMS短信发送的那段代码,但是代码很乱很脏,因为那时候不懂事儿瞎写的,现在整理了一下我就不客气了,给大家贴在这儿了,哈哈~~由于这是一段模版代码,只需把自己在短信平台注册的用户名和接口调用的秘匙补上去,还有将你想要发送的随机验证码和短信模板内容告诉接口就OK。

   public static String sendCode(String url,String encoded,String mobile,String SMSTemplate){
//获取随机6位验证码
String code = VerifyCodeUtils.generateVerifyCode(6);
HttpClient client = new HttpClient();
PostMethod post = new PostMethod(url);
post.addRequestHeader("Content-Type", "application/x-www-form-urlencoded;charset="+encoded);
NameValuePair[] data = {
new NameValuePair("Uid", 用户名),
new NameValuePair("Key", 秘匙),
new NameValuePair("smsMob", mobile),
new NameValuePair("smsText", "验证码:"+code+SMSTemplate)};
post.setRequestBody(data);
try {
client.executeMethod(post);
Header[] headers = post.getResponseHeaders();
int statusCode = post.getStatusCode();
System.out.println("statusCode:" + statusCode);
for (Header h : headers) {
System.out.println(h.toString());
}
String result = new String(post.getResponseBodyAsString().getBytes("gbk"));
System.out.println(result); // 打印返回消息状态 post.releaseConnection();
} catch (Exception e) {
e.printStackTrace();
} return code;
}

    需求:用户登录要求必须输入正确的用户名和密码,最后还要二次验证通过,发送短信验证码来校验该用户是否合法?

  需求分析及场景还原:

    由于我的登录功能是通过shiro安全框架来实现的,所以短信验证码功能就必须通过发送ajax异步请求后台,将系统发送出去的短信验证码保存在了session中,然后在用户认证过程中取出登录用户在页面输入的验证码对比即可。但是,不幸的是,我不够老道不够细心经验不足,导致shiro让我围着它转了将近一天。点击按钮获取短信验证码,在这儿我是通过给按钮绑定点击事件来发送ajax请求,后台通过调用上面抽取的工具方法来给指定用户发送短信内容,逻辑没错吧。就这么简单,为什么我就能玩出302 Found呢,也许大家还不清楚302 Found是什么意思吧?我也不说网上那些绕来绕去的说法,我的理解就是资源存在,但是由于重定向设定权限而导致未正确跳转至目标链接。找了一天资料,学了各种说法,也试了各种方法,但是最后解决问题的是一句出乎意料的简单配置,下面就给大家把现场布置一下吧,302 Found的奇妙出现,我竟然分析了那么久。

Shiro眼皮下玩ajax,玩出302 Found(实践得经验)

    你们不要怀疑我后台代码写错了或是前端代码写错了,没有的事儿。当我一点击按钮ajax方法不执行,在浏览器中打断点各种尝试走到发送ajax的那段代码就跳过去,请求也不发,后台代码肯定也不执行,为啥,难道我前端js代码写错了?不会啊,昨天还刚把异步加载菜单的那玩意儿给搞出来了,js代码写了一整天也没出什么意外,今天就写这么几行简单的js代码不会太过分吧。于是就各种打断点各种分析,我这个人吧,在开发中只要是我代码的执行逻辑没问题,我就会把他测试到烂也得把问题找出来,行这次我输,实在是耗不起啊,也不是太大的问题,就这么耗着不值得。叫师兄过来看看吧,也许当局者迷,他过来也是一顿断点各种走流程,没错啊你这咋回事啊,奇了怪了~~~我看他也被这看似正常内藏大坑的代码搞无语了,我就说行吧,我再自个儿琢磨一下吧,你先把你的活干了。

    接着我又趴在桌子上想啊想啊,登录能正常调用,我发送个ajax不至于这么绝吧,一杯水下肚,巧了,Shiro在跟我开玩笑呢,你利用了我,就得时刻注意我的一举一动,原来我是把发送短信验证码的方法给拦截了,哎吆我滴孩啊,这种错误不是技术惹的祸,而是你就踩过这坑没,只要你玩过这功能玩过这样的业务,你就会,其实我才在IT界混了短短2年多,哪有那么深的手法啊,在这里我不是绕圈子给大家炫我做的功能,而是想给大家分享这种错误,我希望读到这篇博文的朋友有个印象,以后遇到足够你装了,瞬间解决问题,咱们这行不就是拿经验混饭吃嘛。

  解决方式:配置忽略项。在spring管理Shiro安全框架的配置文件中配置获取验证码的方法,让它可以匿名访问即可,就是用户没有登录,也可以发送请求到后台执行方法。

      <!-- shiro连接约束配置 -->
<property name="filterChainDefinitions">
<value>
<!-- 对静态资源设置允许匿名访问 -->
/images/** = anon
/js/** = anon
/css/** = anon
<!-- 可匿名访问路径,例如:短信验证码、登录连接、退出连接等 -->
/auth/login = anon
/user/sendCode = anon
<!-- 剩余其他路径,必须认证通过才可以访问 -->
/** = authc
</value>
</property>

    最后提醒大家,以后用到安全框架,就请善待它,这种错误你是学不到的,只有下过坑才能尝到那种美味。