2017-5-31

今日目标：实现shiro的整合。
感觉比起之前折腾的这些验证码之类的，后面对数据库的增删改查反而好简单了……

Element 'bean' cannot have character [children], because the type's content type is element-only
遇到这个报错，（IDEA帮我检测了，没有等跑起来才出现），是我忘了删一个XML注释的尾部。
shiro的框架初步部署完毕，设计一下用户权限吧。
四个过滤器分别过滤：
用户有没有拿到正确的网页验证码
用户有没有通过邮件验证
用户有没有登陆
用户有没有授权（删除其他人的文章等）。

分析一下验证码流程：
用户请求验证码会拿到一个Token ，服务器将Tk和具体验证码存入缓存，将带Tk的URL返回给用户。
用户访问URL拿到图片。
用户将验证码和Tk提交给服务器，Controller调用Service进行判断并返回结果。
以上流程中，使用Tk是为了确保每个验证码对应一个Tk，不会出现使用别人的验证码登陆的bug。

假设：
用户如果提交了正确的验证码和Tk，接下来请求邮箱验证码。
请求邮件验证码的过程经过了shiro的captchaFilter，Filter放行。
那么Filter负责判断Tk是否对应验证码。
那么原有Controller中的方法是否保留呢？可以用于前端ajax单独请求验证？
心念一转，实际上并不冲突，假设前端页面ajax请求了验证，然后提交Json的时候再次提交验证确保安全。

决定放弃上述方案，将验证码再传一次浪费服务器资源，直接在Controller里发一个新的Tk，Filter不访问redis，直接在当时验证这个Tk是否有效果，降低URL长度。

邮件也类似，Controller里发新Tk，mailFilter验证Tk。

写好了基本的captchaFilter，编译运行报错：
Failed to convert property value of type 'java.util.LinkedHashMap' to required type 'java.util.Map' for property 'filters';
（之前改了Filter名没改XML的事就不说了）

后来发现另一个异常（Mapper XML）修改时候没删干净标签，这个解决了之前那个错也没了。。迷

测试一下之前的图片验证码，发现shiro似乎有默认Filter去拦截/api/captcha/get/A.B.C的做法。。改成/get?token=A.B.C就没事。。难道是什么XSS还是SQL注入的防御吗。。

回到captchaFilter，服务器报了一个session相关的错误。。果然从别的地方复制来的XML都是不靠谱的

19:54:00.982 [http-apr-8080-exec-2] DEBUG o.a.s.s.mgt.DefaultSessionManager - Unable to resolve session ID from SessionKey [org.apache.shiro.web.session.mgt.WebSessionKey@44799bd]. Returning null to indicate a session could not be found.

然后客户端返回来200，但是body是Syntax error，邮件也没有发送。

奇怪的是，我设定了网页验证码相关接口不需要Filter：
/api/captcha/** = noSessionCreation,anon
就没问题。。

仔细查看日志，请求网页验证码也会出这条Unable to resolve session ID from SessionKey的日志。
Content-Length →56
Content-Type →application/json;charset=utf-8
Date →Wed, 31 May 2017 12:24:31 GMT
Server →Apache-Coyote/1.1
实际上是被Filter拦下了，但是没有返回正确的内容？
测试一下，把Filter里返回的Content-Type改成XML，再在Filter里下几个断点。

这时候因为我没有传tk，resultMap给的值是state:Invaild，的确取到了。
接下来成功生成了 resp这个JSONObject。
迷之返回。

那为什么是json的时候就显示SyntaxError呢？
最后发现我基础逻辑有问题，写了两次返回JSON对象的语句，而且还不是组成数组的……

我他妈是傻逼吧……

发现发邮件的接口没有返回值。
发现我在Filter的通过认证里写了servletResponse.getWriter().write(resp.toJSONString());

我他妈是傻逼吧*2

我他妈就是个傻逼！！！

Filter验证通过……
发现一个新问题，在发送邮件验证码之后，去检验验证码是否正确这里，要不要去要求图片验证码的Tk呢……

设想业务场景，用户注册，填完表单，前端Ajax请求验证码然后验证，服务端给一个通过图片验证码的TK。
接下来就是前端把Tk和发邮件的请求打包过来，服务端发邮件之后返回一个邮件Tk，然后前端把用户填写的验证码和邮件Tk发过来，Header带一个通过图片验证码的Tk。
Header的Tk通过了检验，进入mailController的valid路径，进行检验。

这样设计的坏处就是要带两个Tk，Header一个参数一个，容易混淆。
而且接下来如果注册用户，还要带个Tk。。不过这时候图片验证码的Tk可以废除了，也是2个Tk。

优化一下逻辑吧，同时只能存在一个Tk，所有Tk放在连接里。
目标的逻辑是这样的：

用户注册，填完表单，前端Ajax请求验证码，服务端给一个带随机Tk的连接，该连接的Content-Type是图片。
前端将随机Tk和验证码拿去访问验证接口，服务端给一个10分钟有效的象征通过验证码的Tk。
前端把象征验证码通过的Tk放连接里，用POST方法提交给服务器，服务器发送邮件，成功就返回一个象征发送邮件成功并且和邮件验证码绑定的Tk。
前端再把象征发送邮件成功的Tk放连接里，GET提交给服务端，服务端的captchaFilter解析该TK，发现内容是发送邮件成功，判断肯定经过验证码验证，放行，进入mailController进行检验。
检验成功，则再返回一个Tk，Tk内容有通过了邮件验证，交由mailFilter进行解析，如果通过则提交数据到user接口进行注册。

用户要求修改密码，先写验证码，再跳转到输入邮件验证码的界面，大致逻辑同上。

用户要求修改密保邮箱，同样先写验证码，只不过要验证两次邮件内容。

写完mailFilter去玩会osu放松下……
明天做用户注册（好像几天前我就这么说过

最后优化了一波，把JSON对象生成在类里，如果过期就加上过期的提示。