发现一个重大漏洞

[929408183]

可以通过 //admin路径开头跳过登录拦截器，访问后台接口，接口能够正常访问。
例如：
post http://127.0.0.1//admin/v1/blogConfig/add
参数
configField=111
configName=111
configValue=111
无需登录即可访问接口

[929408183]

if (uri.startsWith("/admin") && null == request.getSession().getAttribute("loginUserId"))
去掉这个 uri.startsWith("/admin")即可

[Linn-cn]

if (uri.startsWith("/admin") && null == request.getSession().getAttribute("loginUserId"))
去掉这个 uri.startsWith("/admin")即可

收到，但我觉得这样解决更好，如下：
Pattern pattern = Pattern.compile("\\b/admin\\b");
pattern.matcher(uri).find()
因为这个拦截器只针对后台，直接去掉uri.startsWith（“ / admin”）之后就变成拦截全部了

[929408183]

在配置类中配置了拦截路径，//admin/xxx也不会放行
// 添加一个拦截器，拦截以/admin为前缀的url路径 后台管理登录拦截
registry.addInterceptor(adminLoginInterceptor)
.addPathPatterns("/admin/")
.excludePathPatterns("/admin/v1/login")
.excludePathPatterns("/admin/v1/reload")
.excludePathPatterns("/admin/dist/")
.excludePathPatterns("/admin/plugins/")
.excludePathPatterns("/X-admin/");