关于其他服务器篡改请求头导致登录失效

问题描述

此问题是单点登录转发问题,客户服务器域名访问一个本程序对外接口获取token,并跳转至本系统登录页面,在网关日志中发现token为空的异常。

问题排查

1、拿token在postman中发送,发现请求是成功的,本程序通过nginx代理配置,检查代理配置,经过一番排查没有问题

2、检查程序,也没有问题

3、那么问题就出现在了域名转发上,这个域名转发会篡改请求头的Authorization中的token,导致登录失败,而客这个域名转发是客户服务器,我们改不了,所以只能选择替代方案。

问题解决

替代方案1: 将用户的token放在url中进行拼接,前端修改axios实例,后端修改,如果获取不到请求头中的token,在参数中的取。

此方案弊端很大,第一是token暴露,第二是url参数有限制,某些请求会失败。

替代方案2:自定义请求头,在axios中修改,在后台修改校验取自定义请求头

替代方案1:

java 复制代码
List<String> strings = request.getHeaders().get(userAuthConfig.getTokenHeader());
        String authToken = null;
        if (strings != null && strings.size() > 0) {
            authToken = strings.get(0);
        }
        // 如果为空,则获取参数中的token
        if (StringUtils.isBlank(authToken)) {
            strings = request.getQueryParams().get("token");
            if (strings != null && strings.size() > 0) {
                authToken = strings.get(0);
            }
  }
javascript 复制代码
// axios 拼接token
url.indexOf('?') === -1 ? config.url = url+'?_='+(new Date().getTime()) +"&token="+token: config.url = url+'&_='+(new Date().getTime())+"&token="+token;

替代方案2:

由于取请求头中token为配置项,后台只需修改配置即可,前台需要添加自定义请求头

java 复制代码
public  class UserAuthConfig {

    @Value("${auth.user.token-header}")
    private String tokenHeader;


    public String getTokenHeader() {
        return tokenHeader;
    }

}
XML 复制代码
auth:
  serviceId: wsd-auth-server
  user:
    token-header: Custom-Token
javascript 复制代码
axios.interceptors.request.use(config => {
  
    if (sessionStorage.getItem('token')) {
        // 自定义请求头
        config.headers['Custom-Token'] = sessionStorage.getItem('token');
        if(!config || !config.headers || !config.headers['Content-Type']){
            config.headers['Content-Type'] = 'application/json';
        }
    }

    let url=config.url.trim();
    url.indexOf('?') === -1 ? config.url = url+'?_='+(new Date().getTime()) : config.url = url+'&_='+(new Date().getTime());
    return config;
});
相关推荐
翼龙云_cloud7 分钟前
阿里云国际代理商:阿里云 ECS 全维度监控配置教程
运维·阿里云·云计算·监控
笑锝没心没肺24 分钟前
fail2ban工具安装配置及使用
linux·运维·服务器
zt1985q2 小时前
本地部署开源智能家居集成平台 ioBroker 并实现外部访问( Windows 版本)
运维·服务器·智能家居
大卡片2 小时前
linux内核驱动开发
linux·运维·驱动开发
心心喵3 小时前
[linux] nohup和pm2的区别 进程保活
linux·运维·服务器
NGINX开源社区4 小时前
F5 NGINX Ingress Controller 5.3.0 新增功能
运维
SelectDB6 小时前
Apache Doris 在 AgentLogsBench 中领先,支撑 Agent 可观测性生产负载
运维·数据库·agent
荣-6 小时前
从两天到十几分钟:一套 YT Crash 自动化分析工具完整工程复盘
大数据·运维·自动化
酷炫的水壶7 小时前
使用memc-nginx和srcache-nginx模块构建高效透明的缓存机制
运维·nginx·缓存
范什么特西8 小时前
网络代理问题
java·linux·服务器