找回密码
 立即注册

QQ登录

只需一步,快速开始

小侠米
论坛元老   /  发表于:2023-3-25 15:51  /   查看:1736  /  回复:3
测试环境:两个活字格应用


例如A应用有只有用户A1,开启单点登录
B应用向A发起单点登录,先用A1发起正常登录。同一台电脑再开一个页面  随便用  任何字符  AAA发起,可以显示A1的登录页面。(除非A1先退出页面)

就是可以用缓存的用户登录,这个漏洞太严重了。按理,不存的用户发起的请求应该直接报错的

3 个回复

倒序浏览
Lay.Li悬赏达人认证 活字格认证
超级版主   /  发表于:2023-3-27 17:55:56
沙发
大佬,不存在的用户可以获取到token嘛,我这边尝试使用不存在的用户,都获取不到token哈
回复 使用道具 举报
小侠米
论坛元老   /  发表于:2023-3-27 21:59:36
板凳
本帖最后由 小侠米 于 2023-3-27 22:03 编辑
Lay.Li 发表于 2023-3-27 17:55
大佬,不存在的用户可以获取到token嘛,我这边尝试使用不存在的用户,都获取不到token哈

匿名登录引起的


回复 使用道具 举报
Lay.Li悬赏达人认证 活字格认证
超级版主   /  发表于:2023-3-28 17:36:16
地板
好的,匿名用户登录的话就不需要单点登录了,直接打开页面就可以了
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册
返回顶部