正常用户单点登录后，随便一个不存在的用户也可以登录

收藏

测试环境：两个活字格应用

例如A应用有只有用户A1，开启单点登录
B应用向A发起单点登录，先用A1发起正常登录。同一台电脑再开一个页面随便用任何字符 AAA发起，可以显示A1的登录页面。（除非A1先退出页面）

就是可以用缓存的用户登录，这个漏洞太严重了。按理，不存的用户发起的请求应该直接报错的

Lay.Li · Lay.Li

大佬，不存在的用户可以获取到token嘛，我这边尝试使用不存在的用户，都获取不到token哈

小侠米 · 小侠米

本帖最后由小侠米于 2023-3-27 22:03 编辑

Lay.Li 发表于 2023-3-27 17:55
大佬，不存在的用户可以获取到token嘛，我这边尝试使用不存在的用户，都获取不到token哈

匿名登录引起的

Lay.Li · Lay.Li

好的，匿名用户登录的话就不需要单点登录了，直接打开页面就可以了

		自动登录	找回密码
密码			立即注册

[已处理] 正常用户单点登录后，随便一个不存在的用户也可以登录