前言:
????????大家好,RuoYi-Vue是我们在开发中非常常见的 前后端分离的开源项目框架,以让大家减少工作量。但是开源并不是毫无缺陷的,在某些项目工作中,对于组件依赖的安全要求是很高的。会要求通过漏洞检测,在此开源框架中,JWT的漏洞是无法过检的。
? ? ? ? RuoYi-Vue 最新版 3.8.8中采用的JWT版本为0.9.1。
? ? ? ? 而我们可以通过官网发现0.9.1存在很多CVE。
那么这个情况如何解决呢,接下来给大家讲解我的解决流程。
流程:
? ? ? ? 1.选择最新版本无CVE漏洞的版本进行替换。(我目前选择的是0.12.6)
? ? ? ?
????????2.替换版本号后,修改TokenService.java中的 parseToken 函数。
/**
* 从令牌中获取数据声明
*
* @param token 令牌
* @return 数据声明