最火后台管理系统 RuoYi 项目探秘，之二

上篇中，我们开端查询了 RuoYi 的项目结构，并在终究实践运转起了项目。我们也发现了作者不好的代码习气，作为反例，我们应该要养成杰出的编码习气。本篇开端，我们会按照 Web 界面逐个对具体子项目的完结的功用进行探秘。

常见又不常见的登录

在上一篇中，我们知道两个很重要的信息，一是 RuoYi 项目没有运用前后端分别，用的是 Thymeleaf 模板；二是权限结构选用的 Shiro。

没有前后端分别，说明登录以及其他业务的 API 照应，必定有一部分是针对 html 的照应，而非全部是 Restful API，落在具体的登录功用上，说明登录表单提交数据的 API，有或许照应的就直接一个 html 页面了。

而 Shiro 结构，说明我们对相关 RBAC 代码分析时，需求从 Shiro 结构的特征进行。

我们再次运转项目，并访问 http://localhost，进入登录界面后，按 F12 翻开浏览器的开发人员东西，然后输入验证码，点击登录。接着我们查询东西的中的网络中的 XHR，然后发现调用了登录 API：http://localhost/login，如图：

我们再看请求体，如图：

这儿存在一个非常严重的问题！！暗码明文传输，安全性很差！！假设我们要用 RuoYi 或许自己搭结构来做一些安全评级较高的项目，比方等保项目，很或许由于这个暗码问题就直接被否定了。

解决方法：暗码加密后传输，加密算法选用非对称的，如 RSA。进一步，传输协议调整为 https，趁便还对避免重放进犯。

别的，我们还发现这儿传输了验证码，那验证码怎么与其时登录绑定的？我们先验证一下是否可以进行验证码替换进犯。

我们在浏览器一同翻开两个登录界面，两个登录界面分别有两个验证码，如图：

我们将第二个验证码答案填入第一个界面，看能否登录。直接登录成功了。说明验证码与其时登录操作或许只有会话绑定联系，只需是同一会话，就认为是同一个操作。我们再用两个不同的浏览器验证一下，这次就无法替换验证码登录了，说明验证码确实是只与会话绑定，后边我们再从代码中承认一次。

然后我们看一下登录成功后的前端逻辑，如图：

可以看到 /login 接口照应 200 后，前端进入主页 index，说明前端是判定登录照应为 200 后，再次访问 index，由于后台会话已记载登录情况，所以鉴权通过，访问回来主页的 html 内容。

为了解答验证码的问题以及更深化了解 RuoYi 项目的登录完结，我们进入代码进行探秘。

奥妙的验证码

上面，我们现已知道登录进口 API 为 /login，那么只需找到该 API ，就可以找到进口深化 RuoYi。

Sping Boot 项目的话，举荐一个 IDEA 插件 RestfulToolkit，它可以很便当的查找 API，要是没有东西的话，我们就只能用全局查找法，来找我们想看的 API。

我们先找 /login API，如图：

一同，我们也趁便打开的 RuoYi 的包结构，如图：

真的是辣眼睛。

一般工程实践中，我们会尽量用业务去划分包的结构，即同业务的在一个包里，更细的划分在用子包表现。而不会像 RuoYi 这样将一大堆或许业务附近的 Controller 扔同一个包里就完了，区别度再用类名去区别。这样其实很让人头疼。

我们继续分析 /login。

首要，我们看到这个 Controller 有比较多的 JavaDoc 注释和代码注释，这个很好，可以便当他人了解代码。可是 API 所对应的 Controller 函数却没有注释，直接懵逼，算了，我们接着分析代码。

GET /login 所对应的函数参数有三个： HttpServletRequest request、HttpServletResponse response 和 ModelMap mmap，这个 mmap 是个啥玩意？我们点进他的定义 ModelMap 里，本来这个是用的 Spring Context。下载源码，看下官方类的说明写的啥，如图9：

原文如下：

/**
 * Implementation of {@link java.util.Map} for use when building model data for use
 * with UI tools. Supports chained calls and generation of model attribute names.
 *
 * <p>This class serves as generic model holder for Servlet MVC but is not tied to it.
 * Check out the {@link Model} interface for an interface variant.
 *
 * @author Rob Harrop
 * @author Juergen Hoeller
 * @since 2.0
 * @see Conventions#getVariableName
 * @see org.springframework.web.servlet.ModelAndView
 */

可以看到，意思是 ModelMap 是标准库中 Map 的一个完结，用于运用 UI 东西结构 model 数据。也就是说这个是结合 html 网页的模型数据传输所运用的。

我们再看 POST /login函数，如图：

函数有三个参数 String username、String password 和 Boolean rememberMe，分别对应的是：用户名、用户暗码和是否记住我。并没有验证码相关的参数。是否说明验证码没有通过后台校验，或许它在哪里被校验的呢？

我们试验一下。

第一步，我们先成心输错验证码登录，然后查询照应体，再通过照应体的要害数据查找代码中的完结。

验证码差错时，照应体如图：

我们可以看到要害报错信息为“验证码差错”，通过这几个汉字我们找到定义，如图：

然后我们查找对应的常量定义，找到运用处，如图：

图中，我们就可以看到判别代码：

if (ShiroConstants.CAPTCHA_ERROR.equals(ServletUtils.getRequest().getAttribute(ShiroConstants.CURRENT_CAPTCHA)))

这儿判定的是假设 request 的 attribute 里 键值为 captcha（对应常量为 CURRENT_CAPTCHA）的值，是否为 captchaError（常量为 CAPTCHA_ERROR）。假设是，则说明验证码有问题。

看一下此方法被调用的当地，如图：

证明晰实是登录才判别的验证码是否校验通过。那么 captcha 是在什么时候被设置的值呢？我们再查找一下它的常量定义。

然后我们找到了类 CaptchaValidateFilter，然后看到了完结：

@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception
{
    request.setAttribute(ShiroConstants.CURRENT_CAPTCHA, ShiroConstants.CAPTCHA_ERROR);
    return true;
}

再查询，发现此类是继承自 Shiro 的 AccessControlFilter，用于验证码校验的过滤器。

然后我们查找校验代码，发现如下：

public boolean validateResponse(HttpServletRequest request, String validateCode)
{
    Object obj = ShiroUtils.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY);
    String code = String.valueOf(obj != null ? obj : "");
    // 验证码铲除，避免屡次运用。
    request.getSession().removeAttribute(Constants.KAPTCHA_SESSION_KEY);
    if (StringUtils.isEmpty(validateCode) || !validateCode.equalsIgnoreCase(code))
    {
        return false;
    }
    return true;
}

这儿我们可以看到，对验证码的判别，原始数据是从 attribute 里获取的，键值对应的常量为 KAPTCHA_SESSION_KEY，我们再查找一下它生成的当地，找到类 SysCaptchaController，然后看到代码如图：

可以看到该函数对应的 API 为 /captchaImage，正好就是界面上生成验证码图片所调用的 API。我们查询一下此 API。哎……

代码中运用了大量明文字符串，而非常量字符串，非常……非常……难受。凡是有一点代码洁癖的，仍是最好把这些常见的字符串定义为常量，或许运用东西组件中已定义好的枚举、常量。要否则他人会说你的代码写得好土。

我们可以看到此处验证码为数学形式式时，生成校验码的方法为 String capText = captchaProducerMath.createText();，然后后边的代码会将代码分割为公式部分和效果部分，公式部分生成图片照应前端，效果部分存储到 attribute 中用于判别是否正确。

以上代码分析后，整个验证码的生成和比较就比较清楚了。拾掇如下： 1.用户未登录情况，调用 /captchaImage，生成验证码图片，并将验证码正确效果放入 request 的 attribute 中，键值为 KAPTCHA_SESSION_KEY 2.用户点击登录，调用 /login 传递数据，包含用户名、暗码、验证码、是否记住用户 3.拦截器 CaptchaValidateFilter 会先读取 /login 传入的验证码，并与 attribute 中的 KAPTCHA_SESSION_KEY 进行比较，假设相同，验证码正确，否则验证码差错，并一同收拾已记载的 attribute KAPTCHA_SESSION_KEY；然后会在 attribute 中添加一个头 captcha，用于记载验证码校验效果 4./loign 对应的方法会调用登录代码 subject.login(token);,会触发 UserRealm 中的认证方法 doGetAuthenticationInfo()，会调用 SysLoginService 的方法 login(String username, String password) 进行用户认证，而其间就会先进行验证码的判定 5.从 attribute 里读取验证码校验效果的键值 captcha，假设对应的值为 captchaError，则说明验证码不对，就不会再进行用户名、暗码的判别了

我们最开端有疑问的验证码校验，到此得到了答案。

古怪的逻辑

从上面我们知道，其实终究对用户认证相关信息的判别都落在 UserRealm，这是 Shiro 结构中认证相关的类，暂不具体打开，在这个类里面，各种认证情况都以失常形式抛出，代码如下：

try
{
    user = loginService.login(username, password);
}
catch (CaptchaException e)
{
    throw new AuthenticationException(e.getMessage(), e);
}
catch (UserNotExistsException e)
{
    throw new UnknownAccountException(e.getMessage(), e);
}
catch (UserPasswordNotMatchException e)
{
    throw new IncorrectCredentialsException(e.getMessage(), e);
}
catch (UserPasswordRetryLimitExceedException e)
{
    throw new ExcessiveAttemptsException(e.getMessage(), e);
}
catch (UserBlockedException e)
{
    throw new LockedAccountException(e.getMessage(), e);
}
catch (RoleBlockedException e)
{
    throw new LockedAccountException(e.getMessage(), e);
}
catch (Exception e)
{
    log.info("对用户[" + username + "]进行登录验证..验证未通过{}", e.getMessage());
    throw new AuthenticationException(e.getMessage(), e);
}

可是最古怪的是，RuoYi 的作者在 login() 方法中针对各种认证失利的情况抛出了各种失常，然后又在 UserRealm 捕获这些失常后，再抛出其他的失常，终究又依据这些失常一同的父类来决议照应的差错数据。

这就像给一个孩子穿了件赤色外套，然后走到门外，又给孩子加了件绿色外套，终究判别孩子的情况，又是通过外套是毛衣来判别。真让人摸不着头脑。

一般情况下，我们有两种完结战略。第一种，针对没的认证失利情况，以不同的失常抛出，那么就会有一个处理失常的顶层规划，通过不同的失常，回来不同的照应信息，在 Spring Boot 结构中，这个失常处理的顶层规划就是 @ControllerAdvice，全部失常都可以在这儿处理。

第二种，我们直接在 Controller 中捕获失常，直接回来不同的照应信息即可。

像 RuoYi 作者这种，把以上两种情况结合起来，又在中心多包装一层失常的规划，就显得既臃肿又杂乱，不可取。

原材料从哪里来

在验证码探秘的过程中，我们也底子理清了登录的逻辑，但我们还没有看到用户和暗码是怎么校验的，我们在上面逻辑中找一下相关逻辑。

我们先在 SysLoginService 中的 login() 中看到以下代码：

// 暗码假设不在指定范围内 差错
if (password.length() < UserConstants.PASSWORD_MIN_LENGTH
    || password.length() > UserConstants.PASSWORD_MAX_LENGTH)
{
    AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
    throw new UserPasswordNotMatchException();
}
// 用户名不在指定范围内 差错
if (username.length() < UserConstants.USERNAME_MIN_LENGTH
    || username.length() > UserConstants.USERNAME_MAX_LENGTH)
{
    AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
    throw new UserPasswordNotMatchException();
}

这段代码，判别了暗码长度，不在长度范围内的暗码，直接判定无效。但一般情况下，暗码相关的杂乱度判别，我们一般会采用暗码战略的规划，供给一个用户可配备的战略，其间就会有暗码长度的配备项。然后在这种判别暗码长度时，读取暗码长度配备项，再进行判别即可。用户名也类似的逻辑。

像作者这种直接将逻辑写死的情况，灵活性非常差，后期假设用户想自定义暗码长度时，又需求修改代码，不建议像 RuoYi 作者这样完结。

接着，代码查询用户信息：

// 查询用户信息
SysUser user = userService.selectUserByLoginName(username);

然后对用户的可用性情况判别，接着进行了暗码校验，如下：

passwordService.validate(user, password);

跟踪到这个完结里，忽略其他逻辑，发现暗码校验函数为 matches(SysUser user, String newPassword)，其完结为如下：

return user.getPassword().equals(encryptPassword(user.getLoginName(), newPassword, user.getSalt()));

这段代码，可以明晰的看出来就是将登录的数据，加盐后，再加密，然后与记载中的用户暗码数据进行比较。我们再看一下 encryptPassword 的完结：

return new Md5Hash(loginName + password + salt).toHex();

也就是存储的暗码数据不是加密数据，而是用户名加上暗码再加上盐，终究用 MD5 得到哈希值。并且我们也知道，用户创立时，存储的数据中，除了底子的用户名、用户暗码等信息，还包含给用户的盐值。

我们大约找一下这个盐值的生成方法，代码如下：

/**
 * 生成随机盐
 */
public static String randomSalt()
{
    // 一个Byte占两个字节，此处生成的3字节，字符串长度为6
    SecureRandomNumberGenerator secureRandom = new SecureRandomNumberGenerator();
    String hex = secureRandom.nextBytes(3).toHex();
    return hex;
}

小结

本篇分析了用户的底子登录流程，了解到 RuoYi 作者没有考虑暗码传输的安全性，对失常的处理不是很新鲜，也知道了作者没有规划暗码战略相关配备，相关的配备非常不灵活。并且可以复用的的字符串也应该抽离为常量，这些在我们做项目时都应该尽量避免。

别的，我们也看到，作者对用户暗码的存储，运用了比较安全的算法，不仅加了盐，还运用 MD5 进行哈希，这点可以提升安全性，值得学习。

下一篇，我们会继续再打开一些关于 Shiro 结构认证相关的逻辑。本篇就到这儿，比心，❤。