Shiro眼皮下玩ajax,玩出302 Found

 1   public static String sendCode(String url,String encoded,String mobile,String SMSTemplate){
 2         //获取随机6位验证码
 3         String code = VerifyCodeUtils.generateVerifyCode(6);
 4         HttpClient client = new HttpClient();
 5         PostMethod post = new PostMethod(url);
 6         post.addRequestHeader("Content-Type", "application/x-www-form-urlencoded;charset="+encoded);
 7         NameValuePair[] data = { 
 8                 new NameValuePair("Uid", 用户名), 
 9                 new NameValuePair("Key", 秘匙),
10                 new NameValuePair("smsMob", mobile), 
11                 new NameValuePair("smsText", "验证码:"+code+SMSTemplate)};
12         post.setRequestBody(data);
13         try {
14             client.executeMethod(post);
15             Header[] headers = post.getResponseHeaders();
16             int statusCode = post.getStatusCode();
17             System.out.println("statusCode:" + statusCode);
18             for (Header h : headers) {
19                 System.out.println(h.toString());
20             }
21             String result = new String(post.getResponseBodyAsString().getBytes("gbk"));
22             System.out.println(result); // 打印返回消息状态
23 
24             post.releaseConnection();
25         } catch (Exception e) {
26             e.printStackTrace();
27         }
28         
29         return code;
30     }

需求:用户登录要求必须输入正确的用户名和密码,最后还要二次验证通过,发送短信验证码来校验该用户是否合法?

  需求分析及场景还原:

    由于我的登录功能是通过shiro安全框架来实现的,所以短信验证码功能就必须通过发送ajax异步请求后台,将系统发送出去的短信验证码保存在了session中,然后在用户认证过程中取出登录用户在页面输入的验证码对比即可。但是,不幸的是,我不够老道不够细心经验不足,导致shiro让我围着它转了将近一天。点击按钮获取短信验证码,在这儿我是通过给按钮绑定点击事件来发送ajax请求,后台通过调用上面抽取的工具方法来给指定用户发送短信内容,逻辑没错吧。就这么简单,为什么我就能玩出302 Found呢,也许大家还不清楚302 Found是什么意思吧?我也不说网上那些绕来绕去的说法,我的理解就是资源存在,但是由于重定向设定权限而导致未正确跳转至目标链接。找了一天资料,学了各种说法,也试了各种方法,但是最后解决问题的是一句出乎意料的简单配置,下面就给大家把现场布置一下吧,302 Found的奇妙出现,我竟然分析了那么久。

你们不要怀疑我后台代码写错了或是前端代码写错了,没有的事儿。当我一点击按钮ajax方法不执行,在浏览器中打断点各种尝试走到发送ajax的那段代码就跳过去,请求也不发,后台代码肯定也不执行,为啥,难道我前端js代码写错了?不会啊,昨天还刚把异步加载菜单的那玩意儿给搞出来了,js代码写了一整天也没出什么意外,今天就写这么几行简单的js代码不会太过分吧。于是就各种打断点各种分析,我这个人吧,在开发中只要是我代码的执行逻辑没问题,我就会把他测试到烂也得把问题找出来,行这次我输,实在是耗不起啊,也不是太大的问题,就这么耗着不值得。叫师兄过来看看吧,也许当局者迷,他过来也是一顿断点各种走流程,没错啊你这咋回事啊,奇了怪了~~~我看他也被这看似正常内藏大坑的代码搞无语了,我就说行吧,我再自个儿琢磨一下吧,你先把你的活干了。

    接着我又趴在桌子上想啊想啊,登录能正常调用,我发送个ajax不至于这么绝吧,一杯水下肚,巧了,Shiro在跟我开玩笑呢,你利用了我,就得时刻注意我的一举一动,原来我是把发送短信验证码的方法给拦截了,哎吆我滴孩啊,这种错误不是技术惹的祸,而是你就踩过这坑没,只要你玩过这功能玩过这样的业务,你就会,其实我才在IT界混了短短2年多,哪有那么深的手法啊,在这里我不是绕圈子给大家炫我做的功能,而是想给大家分享这种错误,我希望读到这篇博文的朋友有个印象,以后遇到足够你装了,瞬间解决问题,咱们这行不就是拿经验混饭吃嘛。

  解决方式:配置忽略项。在spring管理Shiro安全框架的配置文件中配置获取验证码的方法,让它可以匿名访问即可,就是用户没有登录,也可以发送请求到后台执行方法。

 1      <!-- shiro连接约束配置 -->
 2         <property name="filterChainDefinitions">
 3             <value>
 4                 <!-- 对静态资源设置允许匿名访问 -->
 5                 /images/** = anon
 6                 /js/** = anon
 7                 /css/** = anon
 8                 <!-- 可匿名访问路径,例如:短信验证码、登录连接、退出连接等 -->
 9                 /auth/login = anon
10                 /user/sendCode = anon            
11                 <!-- 剩余其他路径,必须认证通过才可以访问 -->
12                 /** = authc
13             </value>
14         </property>

    最后提醒大家,以后用到安全框架,就请善待它,这种错误你是学不到的,只有下过坑才能尝到那种美味。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯NEXT学位

那些让编码效率起飞(前端)的工具了解一下

? | 导语 想晚上吃鸡?前端编码效率提升工具了解一下? 一、Bash篇(Mac) iTerm2 iTerm 2 is a terminal emulato...

20930
来自专栏刘望舒

Android P 适配指南

Google自 android L (5.0) 以来就持续对安装系统进行 安全 以及 性能上的升级,此次的 android P (9.0)也不例外, 更大程度...

1.3K20
来自专栏FreeBuf

Cisco Linksys无线路由固件安全分析与后门研究

最近我对嵌入式设备安全方面比较感兴趣,所以我决定找点东西练练手,于是我在淘宝上搜了一下,发现Linksys WRT54Gv5无线路由比较流行,决定就拿这个下手了...

33950
来自专栏mathor

HackingLab的一套渗透测试题

 Hackinglab是一个在线网络信息安全攻防平台,里面有很多题,我随便做里面一套题,算是这两天学渗透的一个总结,题目地址

71440
来自专栏Golang语言社区

从零开始创建一个基于Go语言的web service

20个小时的时间能干什么?也许浑浑噩噩就过去了,也许能看一些书、做一些工作、读几篇博客、再写个一两篇博客,等等。而黑客马拉松(HackAthon),其实是一种自...

52890
来自专栏安恒信息

一些APT攻击案例分享

2014年我们所知的所有网络攻击,实际上还只是冰山一角,未来的网络空间将出现更多错综复杂、有组织性甚至是由敌对国家发起的网络袭击。APT攻击事件目前趋于爆发式增...

47250
来自专栏Jerry的SAP技术分享

利用CRM中间件Middleware从ERP下载Customer Material的常见错误

下图是我在ERP创建的Material,为其维护了一个Customer Material AOP。

40480
来自专栏Ceph对象存储方案

RGW 服务端加密爬坑记

参考了官方文档,决定采用 Customer-Provided Keys(Amazon SSE-C)方式进行加密

28940
来自专栏技术小黑屋

Gmail托管邮箱发邮件认证失败

Gmail是一款很优秀的邮件工具,我一直使用Gmail来托管公司的邮箱,利用最棒的过滤器进行过滤垃圾邮件。前段时间公司邮箱密码更换,使用了新的密码后导致了只能收...

20910
来自专栏FreeBuf

“奇幻熊”(APT28)组织最新攻击

近日腾讯御见威胁情报中心在监测Fancy Bear“奇幻熊”组织的攻击活动过程中,发现了其使用的最新攻击样本。下文将详细披露该组织的攻击手法,和各企业一起共同抵...

29180

扫码关注云+社区

领取腾讯云代金券