单点登录

登录

我做了一个活字格单点登录点一个活字格的程序，
但是不行，
麻烦帮我看一下哪里错了。
谢谢

guoqp · guoqp

获取token应该是这个吧
/SSO/GetUserToken

且它的两个参数，userName是要单点登录的用户名，password是你设置的工程单点登录密码

你也没有开启单点登录，在“文件”-->“设置”-->“与另外的网站集成”-->启用开启单点登录，并设置单点登录密码，这个密码就是你要GETUSERTOKEN时的密码

再就是服务端命令应该允许所有人使用吧，你现在是登录用户才能使用

Nathan.guo · Nathan.guo

楼上大佬分析的十分到位，大佬可以参考下~~

sz_xd · sz_xd

guoqp 发表于 2024-4-29 22:37
获取token应该是这个吧
/SSO/GetUserToken

留意：正常服务端命令非必要的特定情况下，不应该设立允许所有人使用的？因这样在发布外网服务器后，会让非登录人员可以匿名登入，造成系统被入侵的风险了；

故他之前设立对服务端命令是登录用户才能使用的，这是正确的！

Nathan.guo · Nathan.guo

sz_xd 发表于 2024-7-24 13:54
留意：正常服务端命令非必要的特定情况下，不应该设立允许所有人使用的？因这样在发布外网服务器后，会 ...

大佬可能理解错了，guoqp大佬指的服务端命令特指的是需要单点登录需要调用的那个服务端命令；因为此时还没有真正登录，所以如果没权限调用登陆的服务端命令的话，那永远也登陆不了；

系统中的其他服务端命令，自然是按照我们正常的架构设置对应权限~~

sz_xd · sz_xd

Nathan.guo 发表于 2024-7-24 14:21
大佬可能理解错了，guoqp大佬指的服务端命令特指的是需要单点登录需要调用的那个服务端命令；因为此时还 ...

哦，如果这是对外网云端服务器，那还采用匿名方式登录并可以返回 UserToken ，这的确给自己留下漏洞坑了，我这只是善意提醒罢了！

Nathan.guo · Nathan.guo

sz_xd 发表于 2024-7-24 19:48
哦，如果这是对外网云端服务器，那还采用匿名方式登录并可以返回 UserToken ，这的确给自己留下漏洞坑了 ...

明白大佬的想法，安全问题确实不容忽视，所以我们设计单点登陆时不是一次访问成功就直接登录，而是会回调进行验证并且会验证单点登录密码等等

不过还是很感谢大佬的建议~~

guoqp · guoqp

sz_xd 发表于 2024-7-24 19:48
哦，如果这是对外网云端服务器，那还采用匿名方式登录并可以返回 UserToken ，这的确给自己留下漏洞坑了 ...

1、请求链接与用户名都相对容易拿到，只要是自己人或者熟悉活字格或者使用扫描工具都可以做到
2、得知道咱们这个应用工程的单点登录密码，这个密码严格来说除了开发人员，谁都不应该知道，要是这个密码都让别人知道了，那出现漏洞就是正常的，就像你的银行卡密码告诉别人一样，那取走你的钱就轻而易举了。
但对于专业的人来说是可以爆力破解的，比如他不知道你的用户名，但可以使用几个字母进行组合或者使用汉语拼音进行组合，很容易得到，到于单点密码，也是可以暴力枚举的，一般来说如果我们设置的密码长度与复杂度不够强，很快就被爆出来了，所以这里提醒各位格友，单点登录密码一定要够强，且要保管好，不要随时让人知晓，再就是最好要有一个安全机制，比如说同一个IP的连续相同命令请求不能大于某个值，否则直接阻断禁止使用该命令，这块官方可以考虑进一步加强。

Nathan.guo · Nathan.guo

guoqp 发表于 2024-7-25 16:22
1、请求链接与用户名都相对容易拿到，只要是自己人或者熟悉活字格或者使用扫描工具都可以做到
2、得知道 ...

收到，这边也会向产品建议~~

		自动登录	找回密码
密码			立即注册

[已处理] 单点登录

本帖子中包含更多资源

8 个回复

评分

本帖子中包含更多资源

时代开发者征文活动

活字格认证

活字格高级认证

Wyn高级认证

Wyn认证