分析开源代码之jwt验证

分析一下别人写的开源代码吧

开源代码的地址:https://gitee.com/yidao620/springboot-bucket?_from=gitee_search

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0"

        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

        xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <groupId>com.xncoding</groupId>

    <artifactId>springboot-jwt</artifactId>

    <version>1.0.0-SNAPSHOT</version>

    <packaging>jar</packaging>

    <name>springboot-jwt</name>

    <description>集成JWT实现接口权限认证</description>

    <parent>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-parent</artifactId>

        <version>2.0.4.RELEASE</version>

    </parent>

    <properties>

        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>

        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>

        <java.version>1.8</java.version>

    </properties>

    <dependencies>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

            <exclusions>

                <exclusion>

                    <groupId>org.springframework.boot</groupId>

                    <artifactId>spring-boot-starter-tomcat</artifactId>

                </exclusion>

            </exclusions>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-jetty</artifactId>

        </dependency>

        <dependency>

            <groupId>com.auth0</groupId>

            <artifactId>java-jwt</artifactId>

            <version>3.4.0</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-test</artifactId>

            <scope>test</scope>

            <exclusions>

                <exclusion>

                    <groupId>com.vaadin.external.google</groupId>

                    <artifactId>android-json</artifactId>

                </exclusion>

            </exclusions>

        </dependency>

        <!-- shiro 权限控制 -->

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.4.0</version>

            <exclusions>

                <exclusion>

                    <artifactId>slf4j-api</artifactId>

                    <groupId>org.slf4j</groupId>

                </exclusion>

            </exclusions>

        </dependency>

        <!-- shiro ehcache (shiro缓存)-->

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-ehcache</artifactId>

            <version>1.4.0</version>

            <exclusions>

                <exclusion>

                    <artifactId>slf4j-api</artifactId>

                    <groupId>org.slf4j</groupId>

                </exclusion>

            </exclusions>

        </dependency>

        <dependency>

            <groupId>org.apache.commons</groupId>

            <artifactId>commons-lang3</artifactId>

            <version>3.7</version>

        </dependency>

    </dependencies>

    <build>

        <plugins>

            <plugin>

                <groupId>org.apache.maven.plugins</groupId>

                <artifactId>maven-compiler-plugin</artifactId>

                <version>3.6.1</version>

                <configuration>

                    <!--<proc>none</proc>-->

                    <source>1.8</source>

                    <target>1.8</target>

                </configuration>

            </plugin>

            <plugin>

                <groupId>org.apache.maven.plugins</groupId>

                <artifactId>maven-surefire-plugin</artifactId>

                <version>2.20</version>

                <configuration>

                    <systemPropertyVariables>

                        <swaggerOutputDir>${project.basedir}/src/main/resources/swagger</swaggerOutputDir>

                        <asciiDocOutputDir>${project.basedir}/src/main/resources/swagger/swagger</asciiDocOutputDir>

                    </systemPropertyVariables>

                    <skip>true</skip>

                </configuration>

            </plugin>

            <plugin>

                <groupId>org.springframework.boot</groupId>

                <artifactId>spring-boot-maven-plugin</artifactId>

                <executions>

                </executions>

            </plugin>

        </plugins>

        <resources>

            <resource>

                <directory>src/main/resources</directory>

            </resource>

            <resource>

                <directory>src/main/java</directory>

                <includes>

                    <include>**/*.xml</include>

                </includes>

            </resource>

        </resources>

    </build>

</project>

"保姆"的配置文件 (如果想知道“保姆”的含义 请参考博主的文章《关于一个小项目》), 这种文件类似于html文件 也是一种标签语言写的文件 所以用的时候直接根据标签的意思去使用即可

和中医药店里的药柜子上密密麻麻中的一个个小抽屉上的标签是一摸一样的。关键是标签本身的意思。这是猝不及防地考察英语水平啊。还好标签也不是那么多。也就几百个吧。。。事实上常用的也就几十个。。。差不多也就是中学的两节英语课的新单词量吧。。。

详情可参考: https://blog.csdn.net/Walker_m/article/details/85157787


package com.xncoding.jwt.config;

import com.xncoding.jwt.shiro.JWTFilter;

import com.xncoding.jwt.shiro.MyShiroRealm;

import org.apache.shiro.cache.ehcache.EhCacheManager;

import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;

import org.apache.shiro.mgt.DefaultSubjectDAO;

import org.apache.shiro.mgt.SecurityManager;

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.core.annotation.Order;

import javax.servlet.Filter;

import java.util.LinkedHashMap;

import java.util.Map;

/**

* Description  : Apache Shiro 核心通过 Filter 来实现,就好像SpringMvc 通过DispachServlet 来主控制一样。

* 既然是使用 Filter 一般也就能猜到,是通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。

*/

@Configuration

@Order(1)

public class ShiroConfig {

    /**

    * ShiroFilterFactoryBean 处理拦截资源文件问题。

    * 注意:单独一个ShiroFilterFactoryBean配置是或报错的,以为在

    * 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager Filter Chain定义说明

    * 1、一个URL可以配置多个Filter,使用逗号分隔

    * 2、当设置多个过滤器时,全部验证通过,才视为通过

    * 3、部分过滤器可指定参数,如perms,roles

    */

    @Bean

    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 必须设置 SecurityManager

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //验证码过滤器

        Map<String, Filter> filtersMap = shiroFilterFactoryBean.getFilters();

        filtersMap.put("jwt", new JWTFilter());

        shiroFilterFactoryBean.setFilters(filtersMap);

        // 拦截器

        //rest:比如/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。

        //port:比如/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。

        //perms:比如/admins/user/**=perms[user:add:*],perms参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,比如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

        //roles:比如/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,比如/admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。//要实现or的效果看http://zgzty.blog.163.com/blog/static/83831226201302983358670/

        //anon:比如/admins/**=anon 没有参数,表示可以匿名使用。

        //authc:比如/admins/user/**=authc表示需要认证才能使用,没有参数

        //authcBasic:比如/admins/user/**=authcBasic没有参数表示httpBasic认证

        //ssl:比如/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

        //user:比如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();

        // swagger接口文档

        filterChainDefinitionMap.put("/v2/api-docs", "anon");

        filterChainDefinitionMap.put("/webjars/**", "anon");

        filterChainDefinitionMap.put("/swagger-resources/**", "anon");

        filterChainDefinitionMap.put("/swagger-ui.html", "anon");

        filterChainDefinitionMap.put("/doc.html", "anon");

        // 其他的

        filterChainDefinitionMap.put("/**", "jwt");

        // 访问401和404页面不通过我们的Filter

        filterChainDefinitionMap.put("/401", "anon");

        filterChainDefinitionMap.put("/404", "anon");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }

    @Bean

    public SecurityManager securityManager() {

        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        // 设置realm.

        securityManager.setRealm(myShiroRealm());

        //注入缓存管理器

        securityManager.setCacheManager(ehCacheManager());

        /*

        * 关闭shiro自带的session,详情见文档

        * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29

        */

        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();

        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();

        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);

        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);

        securityManager.setSubjectDAO(subjectDAO);

        return securityManager;

    }

    /**

    * 身份认证realm; (这个需要自己写,账号密码校验;权限等)

    */

    @Bean

    public MyShiroRealm myShiroRealm() {

        MyShiroRealm myShiroRealm = new MyShiroRealm();

        return myShiroRealm;

    }

    /**

    * 开启shiro aop注解支持. 使用代理方式; 所以需要开启代码支持;

    *

    * @param securityManager 安全管理器

    * @return 授权Advisor

    */

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {

        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

        return authorizationAttributeSourceAdvisor;

    }

    /**

    * shiro缓存管理器;

    * 需要注入对应的其它的实体类中:

    * 1、安全管理器:securityManager

    * 可见securityManager是整个shiro的核心;

    *

    * @return

    */

    @Bean

    public EhCacheManager ehCacheManager() {

        EhCacheManager cacheManager = new EhCacheManager();

        cacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");

        return cacheManager;

    }

}

shiro配置类。

shiro这个“保姆”是负责安全的,她负责对于客户端的每句话进行审查。(关于客户端与服务器端那些事儿 可以参考博主的文章《关于一个小项目》)

那为什么要对客户端的每句话进行审查呢?是因为怕客户端搞坏吗?的确如此。因为在客户端与服务器之间的管子安好之后,客户端讲话时讲话的内容是要遵守一定规矩的。而且我们也说道过一个概率曲线,所以这个曲线说明对于客户说话的频率是有上限要求的。所以对客户端的行为做了一些要求。这就是游戏规则。而这“保姆”就是维护这个游戏规则的。

     所以这个项目就请了这样一位“保姆”。

     为了能够对客户端的话进行审查。保姆站在了服务器的门口走廊对于客户端说的每句话进行审查。如果客户端说的话不符合游戏规则。那么“保姆”,直接回复客户端道:"对不起,客户端,你说的这句话不符合游戏规则。如果你要说话,就请按照游戏规则来"。所以客户端就听不到它预想的回话了。

      “保姆”在门口走廊的工作情景如下:

package com.xncoding.jwt.shiro;

import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.http.HttpStatus;

import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

public class JWTFilter extends BasicHttpAuthenticationFilter {

    private Logger LOGGER = LoggerFactory.getLogger(this.getClass());

    /**

    * 判断用户是否想要登入。

    * 检测header里面是否包含Authorization字段即可

    */

    @Override

    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {

        HttpServletRequest req = (HttpServletRequest) request;

        String authorization = req.getHeader("Authorization");

        return authorization != null;

    }

    @Override

    protected boolean executeLogin(ServletRequest request, ServletResponse response) {

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;

        String authorization = httpServletRequest.getHeader("Authorization");

        JWTToken token = new JWTToken(authorization);

        // 提交给realm进行登入,如果错误他会抛出异常并被捕获

        getSubject(request, response).login(token);

        // 如果没有抛出异常则代表登入成功,返回true

        return true;

    }

    /**

    * 这里我们详细说明下为什么最终返回的都是true,即允许访问

    * 例如我们提供一个地址 GET /article

    * 登入用户和游客看到的内容是不同的

    * 如果在这里返回了false,请求会被直接拦截,用户看不到任何东西

    * 所以我们在这里返回true,Controller中可以通过 subject.isAuthenticated() 来判断用户是否登入

    * 如果有些资源只有登入用户才能访问,我们只需要在方法上面加上 @RequiresAuthentication 注解即可

    * 但是这样做有一个缺点,就是不能够对GET,POST等请求进行分别过滤鉴权(因为我们重写了官方的方法),但实际上对应用影响不大

    */

    @Override

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

        if (isLoginAttempt(request, response)) {

            return executeLogin(request, response);

        }

        return true;

    }

    /**

    * 对跨域提供支持

    */

    @Override

    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;

        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));

        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");

        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));

        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态

        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {

            httpServletResponse.setStatus(HttpStatus.OK.value());

            return false;

        }

        return super.preHandle(request, response);

    }

    /**

    * 将非法请求 /401

    */

    private void response401(ServletRequest req, ServletResponse resp) {

        try {

            HttpServletResponse httpServletResponse = (HttpServletResponse) resp;

            httpServletResponse.sendRedirect("/401");

        } catch (IOException e) {

            LOGGER.error(e.getMessage());

        }

    }

}

       看到了没?

@Configuration

@Order(1)

public class ShiroConfig {

    /**

    * ShiroFilterFactoryBean 处理拦截资源文件问题。

    * 注意:单独一个ShiroFilterFactoryBean配置是或报错的,以为在

    * 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager Filter Chain定义说明

    * 1、一个URL可以配置多个Filter,使用逗号分隔

    * 2、当设置多个过滤器时,全部验证通过,才视为通过

    * 3、部分过滤器可指定参数,如perms,roles

    */

    @Bean

    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 必须设置 SecurityManager

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //验证码过滤器

        Map<String, Filter> filtersMap = shiroFilterFactoryBean.getFilters();

        filtersMap.put("jwt", new JWTFilter());

        shiroFilterFactoryBean.setFilters(filtersMap);

        // 拦截器

        //rest:比如/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。

        //port:比如/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。

        //perms:比如/admins/user/**=perms[user:add:*],perms参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,比如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

        //roles:比如/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,比如/admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。//要实现or的效果看http://zgzty.blog.163.com/blog/static/83831226201302983358670/

        //anon:比如/admins/**=anon 没有参数,表示可以匿名使用。

        //authc:比如/admins/user/**=authc表示需要认证才能使用,没有参数

        //authcBasic:比如/admins/user/**=authcBasic没有参数表示httpBasic认证

        //ssl:比如/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

        //user:比如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();

        // swagger接口文档

        filterChainDefinitionMap.put("/v2/api-docs", "anon");

        filterChainDefinitionMap.put("/webjars/**", "anon");

        filterChainDefinitionMap.put("/swagger-resources/**", "anon");

        filterChainDefinitionMap.put("/swagger-ui.html", "anon");

        filterChainDefinitionMap.put("/doc.html", "anon");

        // 其他的

        filterChainDefinitionMap.put("/**", "jwt");

        // 访问401和404页面不通过我们的Filter

        filterChainDefinitionMap.put("/401", "anon");

        filterChainDefinitionMap.put("/404", "anon");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }

import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.http.HttpStatus;

import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

public class JWTFilter extends BasicHttpAuthenticationFilter {

那“保姆”是正正当当地坐在了门口走廊上,所以客户端说的话想趁“保姆”不注意的时候,偷偷溜进去从而逃避检查那基本是不可能的。所以除了一些黑客高手,一般的客户端必须是要遵守游戏规则的。否则客户端是没有办法说话的。

就像在博主的文章《关于一个小项目》说到的那样。其实服务器是有个小本子的。

服务器看自己的小本子就能够知道,这次来说话的客户端,是不是在数据库里面有记录。或者说这个来说话的客户端是否登录过。从这个意义上来说服务器是有“记忆”的。

那么客户端是有登录行为的。这样子是为了让服务器“记住”它,也是为了在服务器验证自己的身份。所以“保姆”特别注意这个登录行为。事实上在她眼里,客户端说的话,其实只分为两种。一种是为了登录而说的话,一种是其他的话。所以“保姆”就针对这两种话,而训练了自己的技能。她一眼就能看出,客户端说来的话是不是为了登录的,如果是的话,那么“保姆”就会为熟练地为客户端办理“登录”手续。

关于跨域从网上找了两句话:

跨域指请求和服务的域不一致,浏览器和H5的ajax请求有影响,而对服务端之间的http请求没有限制。

跨域是浏览器拦截了服务器端返回的相应,不是拦截了请求。

出自:https://blog.csdn.net/chenwo6216/article/details/100628410 注:如果想对跨域了解更多内容,可以查阅此博文。

而使用Logger这个“保姆”可以很好地打印说明信息,以及保存说明信息。


package com.xncoding.jwt.api;

import com.xncoding.jwt.api.model.BaseResponse;

import com.xncoding.jwt.api.model.LoginParam;

import com.xncoding.jwt.common.util.JWTUtil;

import com.xncoding.jwt.model.ManagerInfo;

import com.xncoding.jwt.service.ManagerInfoService;

import com.xncoding.jwt.shiro.ShiroKit;

import org.apache.shiro.authz.UnauthorizedException;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.web.bind.annotation.*;

import javax.annotation.Resource;

/**

* 登录接口类

*/

@RestController

public class LoginController {

    @Resource

    private ManagerInfoService managerInfoService;

    private static final Logger _logger = LoggerFactory.getLogger(LoginController.class);

    @PostMapping("/login")

    public BaseResponse<String> login(@RequestHeader(name="Content-Type", defaultValue = "application/json") String contentType,

                                      @RequestBody LoginParam loginParam) {

        _logger.info("用户请求登录获取Token");

        String username = loginParam.getUsername();

        String password = loginParam.getPassword();

        ManagerInfo user = managerInfoService.findByUsername(username);

        //随机数盐

        String salt = user.getSalt();

        //原密码加密(通过username + salt作为盐)

        String encodedPassword = ShiroKit.md5(password, username + salt);

//从数据库里面取出来 和传过来的数据进行对比 数据库存储的并不是传来的数据 而是传来的数据加密后的结果      

if (user.getPassword().equals(encodedPassword)) {

//登录成功了,用户名和密码需要存储到内存中

            return new BaseResponse<>(true, "Login success", JWTUtil.sign(username, encodedPassword));

        } else {

            throw new UnauthorizedException();

        }

    }

}


登录的基本思路就是:从数据库里面取出来数据  和传过来的数据进行对比 而 数据库存储的并不是传来的数据 而是传来的数据加密后的结果  所以对比的时候 要先对传过来的数据进行加密 。登录成功后,就存储此用户名和密码到内存中。以便在下次在“登录”的时候,可以直接从内存中取出数据进行验证。

这样子就算登录完成验证了。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,657评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,662评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,143评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,732评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,837评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,036评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,126评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,868评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,315评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,641评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,773评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,859评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,584评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,676评论 2 351