公司内部网站跳转带token的问题
小白一个,虚心请教一下大佬们。公司内部网站,平时需要密码加微信推送的验证码登录。A网站跟B网站可以相互跳转,之前B转A地址带token,且很快过期。不过A跳转B地址格式是这样:http://IP地址/simulateLogin?tellerNo=123456&instNo=123456&tellerName=张三,之前懒得输密码收验证码,都是把这个地址收藏到书签,直接就登录了,最近A转B也加token了,跳转时地址变成http://IP地址/simulateLogin?tellerNo=123456&instNo=123456&tellerName=张三&token=***,而且这个token在网页关闭退出后,重新上就失效了,请问还有什么办法可以快捷登录。谢谢,懒贯了,这样就一下子不习惯了。 要给具体细节,浏览器f12
1. A 跳转B的时候,看toen怎么返回的。如果没走接口,估计就是编码+时间戳(这个好办,自己生成一个)
2. 进入B的时候,看用户信息怎么存的。这个token是不是直接用,如果直接用的这个token。进入B系统不要用那个跳转链接了,下次收藏功能页面。等token过期了,再通过跳转访问,否则带token去登录页,会进行校验。
一般来说,系统对接是两种方式
1. token是加密的信息+时间戳,去B系统解密,做一次B系统的登录
2. A系统去B申请一个token,到B了,直接用。
只通过上面提供的信息,不能给出具体的方案。
kazzp 发表于 2024-4-19 14:57
感谢回复,哪个位置看返回,token这么长,应该不是你说的编码吧?
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ ...
这个是jwt的token。
{
"username": "www.bejson.com",
"sub": "demo",
"iat": 1713513792,
"nbf": 1713513792,
"exp": 1713600192
}
这个 JWT 的过期时间为 2024 年 4 月 19 日, 07:25,不好搞。
你没法控制的,不建议直接明文带token过去,需要b那边支持,就是谁改的需要token了,你问他带什么参数过去给他识别 这个token 很可能是输完验证码 生成的token 简单粗暴,不要关电脑,不要关浏览器 明显鉴权漏洞补上了,之前你修改链接内容,没有别人的密码,也可以登录别人的账号。 如果和开发关系好,可以让开发人员给你个始终可用的token。 本帖最后由 kazzp 于 2024-4-19 17:25 编辑
freesaber 发表于 2024-4-19 14:11
要给具体细节,浏览器f12
1. A 跳转B的时候,看toen怎么返回的。如果没走接口,估计就是编码+时间戳(这个 ...
okok,那就没办法咯 GTFX 发表于 2024-4-19 13:41
明显鉴权漏洞补上了,之前你修改链接内容,没有别人的密码,也可以登录别人的账号。 如果和开发关系好,可 ...
是这样的,之前的链接登录其他人的也可以。 mr88fang 发表于 2024-4-19 13:36
简单粗暴,不要关电脑,不要关浏览器
太久没操作,会自动退出的 freesaber 发表于 2024-4-19 14:11
要给具体细节,浏览器f12
1. A 跳转B的时候,看toen怎么返回的。如果没走接口,估计就是编码+时间戳(这个 ...
这是A转B的,B转A的token就比较短。
页:
[1]
2