solr鉴权(真不介意使用)

开篇我只想说，solr是真tm垃圾，我接手项目后只知道有solr这么个东西，有api操作所以没有深入了解，直到最近有安全评级，把xss修复后，看到最后一条。solr可以直接通过外网访问？？？？？？

 

What the hell is this，一个这么多年的搜索引擎没有权限控制。好以为是个小事，找了一下资料发现solr的文章时真少，鉴权就更少。而且我真的想吐槽那些机翻官网的沙雕，不懂你就别tm写。后面我直接看官方文档，

鉴权用插件，我忍了，直到我看到这个破文档

 

 

 

我就很想问，这个盐在哪里，我看了半天api只有个

 

我曾一度怀疑这个文件里面的是个盐渍还是个密码，无语。我对着这个东西研究接近两个小时。我是真的怀疑人生了，es不香吗，用恁奶奶个腿的solr，就真一把梭了，数据搞上去大家公共访问。

后面我看到原来淘宝当年solr也是暴露在公网

 

 

然后我下载了solr源码

我还是看源码，准备一探究竟，这个源码下了我半个小时，到这里我想的最多的就是砍死这个写文档的。

你写的那个salt到底是个啥，我还得sha256加密后写配置文件里面，你倒是告诉我是个啥啊，你妈妈没教你不要骗人吗

我打开源码

 

 

 

 

我抽完这根烟就整把ak崩了你

然后我看到了这个东西

 

 

 

 

 

这是个salt，还真是（password+salt），我tm

然后我按他的加密了一遍

 

真的，以后写文档的大哥们，就当我是个智障，降维到幼儿园行吗