公司内部网站跳转带token的问题

kazzp

小白一个，虚心请教一下大佬们。
公司内部网站，平时需要密码加微信推送的验证码登录。A网站跟B网站可以相互跳转，之前B转A地址带token，且很快过期。不过A跳转B地址格式是这样：http://IP地址/simulateLogin?tellerNo=123456&instNo=123456&tellerName=张三，之前懒得输密码收验证码，都是把这个地址收藏到书签，直接就登录了，最近A转B也加token了，跳转时地址变成http://IP地址/simulateLogin?tellerNo=123456&instNo=123456&tellerName=张三&token=***，而且这个token在网页关闭退出后，重新上就失效了，请问还有什么办法可以快捷登录。谢谢，懒贯了，这样就一下子不习惯了。

freesaber

要给具体细节，浏览器f12
1. A 跳转B的时候，看toen怎么返回的。如果没走接口，估计就是编码+时间戳（这个好办，自己生成一个）
2. 进入B的时候，看用户信息怎么存的。这个token是不是直接用，如果直接用的这个token。进入B系统不要用那个跳转链接了，下次收藏功能页面。等token过期了，再通过跳转访问，否则带token去登录页，会进行校验。

一般来说，系统对接是两种方式
1. token是加密的信息+时间戳，去B系统解密，做一次B系统的登录
2. A系统去B申请一个token，到B了，直接用。
只通过上面提供的信息，不能给出具体的方案。

freesaber

kazzp 发表于 2024-4-19 14:57
感谢回复，哪个位置看返回，token这么长，应该不是你说的编码吧？
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ ...

这个是jwt的token。
{
  "username": "www.bejson.com",
  "sub": "demo",
  "iat": 1713513792,
  "nbf": 1713513792,
  "exp": 1713600192
}
这个 JWT 的过期时间为 2024 年 4 月 19 日， 07:25，不好搞。

rrdish

你没法控制的，不建议直接明文带token过去，需要b那边支持，就是谁改的需要token了，你问他带什么参数过去给他识别

linguo2625469

这个token 很可能是输完验证码 生成的token

mr88fang

简单粗暴，不要关电脑，不要关浏览器

GTFX

明显鉴权漏洞补上了，之前你修改链接内容，没有别人的密码，也可以登录别人的账号。 如果和开发关系好，可以让开发人员给你个始终可用的token。

kazzp

freesaber 发表于 2024-4-19 14:11
要给具体细节，浏览器f12
1. A 跳转B的时候，看toen怎么返回的。如果没走接口，估计就是编码+时间戳（这个 ...

okok，那就没办法咯

kazzp

GTFX 发表于 2024-4-19 13:41
明显鉴权漏洞补上了，之前你修改链接内容，没有别人的密码，也可以登录别人的账号。 如果和开发关系好，可 ...

是这样的，之前的链接登录其他人的也可以。

kazzp

mr88fang 发表于 2024-4-19 13:36
简单粗暴，不要关电脑，不要关浏览器

太久没操作，会自动退出的

kazzp

freesaber 发表于 2024-4-19 14:11
要给具体细节，浏览器f12
1. A 跳转B的时候，看toen怎么返回的。如果没走接口，估计就是编码+时间戳（这个 ...

这是A转B的，B转A的token就比较短。