前言:最近的项目中用到了spring security组件,说句显low的话:我刚开始都不知道用了security好不勒,提了bug,在改的过程中,遇到了一些问题,找同事交流,才知道是用的security组件。 这个bug,真的是一波三折:复现它就是个问题,然后我又把403改成了404,后来干脆登录不进去主站,最后,这个bug,被消灭在本宝宝的代码中,哈哈哈哈哈!
问题所在:token 过期
一、关于问题的想法
1,我在想是不是写的登录逻辑有问题,用代码控制住了当前登录页的相关缓存问题,一路跟代码。 好吧,有些工程没权限就不说了,后来同事告诉我应该没又跳转到逻辑,就死掉了。 我在登录页发现了那个 security的标记(当时根本不知道那是个啥,傻X一个),查了查,再跟同事了解了具体情况,果断放弃对逻辑的怀疑,因为我们没有用代码控制缓存失效之类的
2,既然不是用户代码的问题,那就是组件机制的问题呗。 本宝宝立马翻了spring security的文档,里面真的提到了超时的概念。 并提出了集中解决方案,链接地址如下:https://docs.spring.io/spring-security/site/docs/4.1.3.RELEASE/reference/htmlsingle/#csrf-timeouts 好吧,里面提到了通过使用JS函数,在表单提交前获取到一个token值(通过使用spring提供的CsrfTokenArgumentResolver) 然而本宝宝并没有在这时候干掉这个不能算是bug的被提出的bug.也提到自定义处理相关异常的建议。 不过本宝宝一向都不是安分守己的人,好不容易整出一个bug,不折腾会儿,会遭天谴的,以下就是本宝宝验证演算的方案示例:
a:本来就是spring security的一种安全保护机制,不算bug,去跟测试和产品协商,忽略它——哈哈,当然这是下下策,虽然最为省事儿,但我预估99%会死
b:既然是停留时间过长才产生的问题,那我想办法,让用户不管在什么时候点击登录,就跟他刚刚输入完账户信息一样。 所以我就想到了:<METAHTTP-EQUIV="REFRESH"CONTENT="csrf_timeout_in_seconds"> 然而,在我的案例里面,并没有用啊,忧伤。
c:使用token注册机,弄出一个不过时的,给登录页面使用——哈哈,我想的挺好的。 再不行了,我找到关于这个token过期时间的代码,改掉它——果然一副写代码到死的精神
d:惹急了我,我把这个csrf的token验证功能关掉——简单又粗暴吧,嘿嘿——当然,这是决定不能干的事儿,虽然可以解决我那个bug
e:总之是出了异常,系统才会拦截到,然后跳转到了指定的403页面,那我就在它跳转到403页面之前,截住这个异常,然后由我自定义处理
f:这一条其实和第 d 条类似,我既然不能关掉所有的验证,那我关掉登录页的验证总行吧,登录页校验的本来就不是这个页面,而是用户的权限。谁都可以进入到登录页,不是吗,嘿嘿。 然后,本宝宝改写了拦截器,对登录页的请求放行了。 ——然而,可能是人品有问题,我竟然没法儿正常登录了,忧伤。肯定是哪儿被我写错了。
其实我想法可多了,总有一个能干掉这个bug,在几次忧伤之后,我选了自定义异常拦截这种方案,这条线的思路是:断点,看看它在跳转到403之前,到底拦截到了什么异常;找到异常,我自定义拦截,并做出我想要系统做出的反应
二、关键代码
自定义异常处理:
import org.springframework.security.access.AccessDeniedException; import org.springframework.security.web.access.AccessDeniedHandlerImpl; import org.springframework.security.web.csrf.MissingCsrfTokenException; import org.springframework.security.web.savedrequest.HttpSessionRequestCache; import org.springframework.security.web.savedrequest.RequestCache; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import java.io.IOException; /** * @author 何红霞~Angelina */ public class MissingCsrfTokenAccessDeniedHandler extends AccessDeniedHandlerImpl { private RequestCache requestCache = new HttpSessionRequestCache(); private String loginPage = "/login"; @Override public void handle(HttpServletRequest req, HttpServletResponse res, AccessDeniedException exception) throws IOException, ServletException { if (exception instanceof MissingCsrfTokenException && isSessionInvalid(req)) { requestCache.saveRequest(req, res); req.getRequestDispatcher(loginPage).forward(req, res); } super.handle(req, res, exception); } private boolean isSessionInvalid(HttpServletRequest req) { try { HttpSession session = req.getSession(false); return session == null || !req.isRequestedSessionIdValid(); } catch (IllegalStateException ex) { return true; } } }
好吧,其实这里又闹了一个笑话。 我最开始,把转发搞成重定向了,我靠,之前是token丢失,现在是整个参数都没了,想掐死自己的心都有了。 果真是久了不写基础代码,手生啊!
安全配置:
@Bean public AccessDeniedHandler getAccessDeniedHandler() { return new MissingCsrfTokenAccessDeniedHandler(); }
http.exceptionHandling().accessDeniedHandler(getAccessDeniedHandler());
三、总结
按照上面的方法做,问题解决了。 反正目前我自测是没毛病了,有问题再说吧,哈哈哈哈哈。
其实这之中发生了几个插曲,我觉得可以分享一下:
1,最开始是跳转到403页面,结果我一通改,403是不跳了,但跳404了。 这时候,你怎么想问题? 反正我想的是:我既然能把403改成跳到404,我就一定能让它跳转到我想要让它去的地方,我离成功只差最后一点了。 有时候,最恐怖的不是bug被改变了,而是不管你怎么改,那个bug都没有变过,你知道这意味着什么吗?
2,我有时候觉得,我是心里变态的,因为我特别希望系统整出个大bug,最好是那种,无从下手的bug。 这想法不好,我得改!
3,我觉得,改bug是一件很有成就感和幸福感的事儿,我以前是苦逼的挖坑,现在是幸福的挖坑,然后幸福的填坑。 我改bug可开心了,果然天生的劳碌命,一辈子的码农啊。。。。。。
