关于其他服务器篡改请求头导致登录失效

问题描述

此问题是单点登录转发问题,客户服务器域名访问一个本程序对外接口获取token,并跳转至本系统登录页面,在网关日志中发现token为空的异常。

问题排查

1、拿token在postman中发送,发现请求是成功的,本程序通过nginx代理配置,检查代理配置,经过一番排查没有问题

2、检查程序,也没有问题

3、那么问题就出现在了域名转发上,这个域名转发会篡改请求头的Authorization中的token,导致登录失败,而客这个域名转发是客户服务器,我们改不了,所以只能选择替代方案。

问题解决

替代方案1: 将用户的token放在url中进行拼接,前端修改axios实例,后端修改,如果获取不到请求头中的token,在参数中的取。

此方案弊端很大,第一是token暴露,第二是url参数有限制,某些请求会失败。

替代方案2:自定义请求头,在axios中修改,在后台修改校验取自定义请求头

替代方案1:

java 复制代码
List<String> strings = request.getHeaders().get(userAuthConfig.getTokenHeader());
        String authToken = null;
        if (strings != null && strings.size() > 0) {
            authToken = strings.get(0);
        }
        // 如果为空,则获取参数中的token
        if (StringUtils.isBlank(authToken)) {
            strings = request.getQueryParams().get("token");
            if (strings != null && strings.size() > 0) {
                authToken = strings.get(0);
            }
  }
javascript 复制代码
// axios 拼接token
url.indexOf('?') === -1 ? config.url = url+'?_='+(new Date().getTime()) +"&token="+token: config.url = url+'&_='+(new Date().getTime())+"&token="+token;

替代方案2:

由于取请求头中token为配置项,后台只需修改配置即可,前台需要添加自定义请求头

java 复制代码
public  class UserAuthConfig {

    @Value("${auth.user.token-header}")
    private String tokenHeader;


    public String getTokenHeader() {
        return tokenHeader;
    }

}
XML 复制代码
auth:
  serviceId: wsd-auth-server
  user:
    token-header: Custom-Token
javascript 复制代码
axios.interceptors.request.use(config => {
  
    if (sessionStorage.getItem('token')) {
        // 自定义请求头
        config.headers['Custom-Token'] = sessionStorage.getItem('token');
        if(!config || !config.headers || !config.headers['Content-Type']){
            config.headers['Content-Type'] = 'application/json';
        }
    }

    let url=config.url.trim();
    url.indexOf('?') === -1 ? config.url = url+'?_='+(new Date().getTime()) : config.url = url+'&_='+(new Date().getTime());
    return config;
});
相关推荐
风123456789~1 小时前
【Linux专栏】ls 排除某个文件
linux·运维·服务器
其实防守也摸鱼2 小时前
运维--学习阶段问题解答(1)(自测)
linux·运维·服务器·数据库·学习·自动化·命令模式
玖玥拾4 小时前
C# 语言进阶(十五)C# 游戏服务端 MySQL 数据库
服务器·开发语言·网络·数据库·mysql·c#
土星云SaturnCloud4 小时前
边缘计算驱动绿氢生产过程智能寻优:电解槽级实时优化技术解析
服务器·人工智能·ai·边缘计算
Darkwanderor4 小时前
对Linux的进程控制的研究
linux·运维·c++
Web极客码5 小时前
突破并发瓶颈:云端高性能架构如何赋能海外 AI Agent 矩阵的高效产出
服务器·人工智能·架构
一个有温度的技术博主5 小时前
【VulnHub 实战】DC-1 靶机渗透测试笔记(一):信息收集与主机发现
服务器·网络·笔记
爱网络爱Linux7 小时前
Linux proc 目录安全加固
linux·运维·rhce·rhca·红帽认证·proc 目录安全加固
MindUp7 小时前
企业网盘权限模型解析:多层级访问控制与审计能力选型指南
java·linux·运维
持力行8 小时前
D-BUS会话总线
运维·网络