正常用户单点登录后,随便一个不存在的用户也可以登录
测试环境:两个活字格应用例如A应用有只有用户A1,开启单点登录
B应用向A发起单点登录,先用A1发起正常登录。同一台电脑再开一个页面随便用任何字符AAA发起,可以显示A1的登录页面。(除非A1先退出页面)
就是可以用缓存的用户登录,这个漏洞太严重了。按理,不存的用户发起的请求应该直接报错的
大佬,不存在的用户可以获取到token嘛,我这边尝试使用不存在的用户,都获取不到token哈:'( 本帖最后由 小侠米 于 2023-3-27 22:03 编辑
Lay.Li 发表于 2023-3-27 17:55
大佬,不存在的用户可以获取到token嘛,我这边尝试使用不存在的用户,都获取不到token哈
匿名登录引起的
好的,匿名用户登录的话就不需要单点登录了,直接打开页面就可以了:'(
页:
[1]