关于其他服务器篡改请求头导致登录失效

问题描述

此问题是单点登录转发问题,客户服务器域名访问一个本程序对外接口获取token,并跳转至本系统登录页面,在网关日志中发现token为空的异常。

问题排查 

1、拿token在postman中发送,发现请求是成功的,本程序通过nginx代理配置,检查代理配置,经过一番排查没有问题

2、检查程序,也没有问题

3、那么问题就出现在了域名转发上,这个域名转发会篡改请求头的Authorization中的token,导致登录失败,而客这个域名转发是客户服务器,我们改不了,所以只能选择替代方案。

问题解决 

替代方案1: 将用户的token放在url中进行拼接,前端修改axios实例,后端修改,如果获取不到请求头中的token,在参数中的取。

此方案弊端很大,第一是token暴露,第二是url参数有限制,某些请求会失败。

替代方案2:自定义请求头,在axios中修改,在后台修改校验取自定义请求头

 替代方案1:

List<String> strings = request.getHeaders().get(userAuthConfig.getTokenHeader());String authToken = null;if (strings != null && strings.size() > 0) {authToken = strings.get(0);}// 如果为空,则获取参数中的tokenif (StringUtils.isBlank(authToken)) {strings = request.getQueryParams().get("token");if (strings != null && strings.size() > 0) {authToken = strings.get(0);}}
// axios 拼接token
url.indexOf('?') === -1 ? config.url = url+'?_='+(new Date().getTime()) +"&token="+token: config.url = url+'&_='+(new Date().getTime())+"&token="+token;

 替代方案2:

由于取请求头中token为配置项,后台只需修改配置即可,前台需要添加自定义请求头

public  class UserAuthConfig {@Value("${auth.user.token-header}")private String tokenHeader;public String getTokenHeader() {return tokenHeader;}}
auth:serviceId: wsd-auth-serveruser:token-header: Custom-Token
axios.interceptors.request.use(config => {if (sessionStorage.getItem('token')) {// 自定义请求头config.headers['Custom-Token'] = sessionStorage.getItem('token');if(!config || !config.headers || !config.headers['Content-Type']){config.headers['Content-Type'] = 'application/json';}}let url=config.url.trim();url.indexOf('?') === -1 ? config.url = url+'?_='+(new Date().getTime()) : config.url = url+'&_='+(new Date().getTime());return config;
});

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/788298.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

App测试中ios和Android的区别

1、Android长按home键呼出应用列表和切换应用&#xff0c;然后右滑则终止应用&#xff1b; 2、多分辨率测试&#xff0c;Android端20多种&#xff0c;ios较少&#xff1b; 3、手机操作系统&#xff0c;Android较多&#xff0c;ios较少且不能降级&#xff0c;只能单向升级&…

InfluxDB2的数据查询示例

有用influxdb2 不支持sql&#xff0c;并且实质是个列存储数据库&#xff0c;这里基于 influxdb-client-java 和 beanutils反射&#xff0c;写了个数据查询&#xff0c;把结果以行对象的形式返回的工具类。 package com.joy.malltools.influxdb2;import com.influxdb.client.Q…

越南工厂连接中国总部服务器解决方案---案例分享

随着全球化的不断深入&#xff0c;许多中国企业走出国门&#xff0c;在世界各地设立分支机构和生产基地。然而&#xff0c;随之而来的是跨国网络通信的挑战。近期&#xff0c;客户越南的工厂与中国总部之间的网络连接出现了一些问题&#xff0c;这直接影响了企业的日常运营效率…

vscode shadertoy插件,非常方便的glsl着色器编写工具

很著名的shadertoy网站&#xff0c;集合了非常多大神利用数学写出美妙的shader效果。像shadertoy创始人之一的IQ大神它在这方面有很多的建树。他的利用光线步进和躁声可以创建很多不可思议的3D场景。 vscode有一件shadertoy的插件&#xff0c;安装后可以新建一个*.glsl文件&am…

使用 FinalShell 进行远程连接(ssh 远程连接 Linux 服务器)

目录 前言 基本使用教程 新建远程连接 连接主机 自定义命令 路由追踪 前言 后端开发&#xff0c;必然需要和服务器打交道&#xff0c;部署应用&#xff0c;排查问题&#xff0c;查看运行日志等等。一般服务器都是集中部署在机房中&#xff0c;也有一些直接是云服务器&am…

Synchronized锁升级过程

无锁-->偏向锁---> 轻量级锁---->重量级锁 ①、从无锁到偏向锁&#xff1a; 当一个线程首次访问同步块时&#xff0c;如果此对象无锁状态且偏向锁未被禁用&#xff0c;JVM 会将该对象头的锁标记改为偏向锁状态&#xff0c;并记录下当前线程的 ID。此时&#xff0c;对…

IntelliJ IDEA - 快捷键 Win Mac 对照表

基本 Ctrl CommandAlt Option WinMacCtrl YCommand DeleteCtrl WOption 方向键上Ctrl NCommand OCtrl F11Option F3Shift F11Command F3Ctrl SpaceControl SpaceCtrl 方向键Option 方向键Alt Control VAlt EnterOption EnterAlt InsertCommand NAlt 方…

Flume学习笔记

视频地址:https://www.bilibili.com/video/BV1wf4y1G7EQ/ 定义 Flume是一个高可用的、高可靠的、分布式的海量日志采集、聚合和传输的系统。 Flume高最要的作用就是实时读取服务器本地磁盘的数据,将数据写入HDFS。 官网:https://flume.apache.org/releases/content/1.9.0/…

云智慧发布对象关系型数据库CloudPanguDB,打破传统技术壁垒

近日&#xff0c;云智慧推出关系型数据库CloudPanguDB&#xff08;中文名称&#xff1a;盘古数据库&#xff09;&#xff0c;旨在通过高兼容性能和创新技术架构&#xff0c;降低企业项目整体运营成本。 无论是处理海量复杂数据&#xff0c;还是构建清晰有序的数据结构关系&…

练习 17 Web [极客大挑战 2019]PHP

常见的网站源码备份文件名和后缀&#xff0c;反序列化攻击 unserialize()&#xff1a;wakeup绕过&#xff0c;private类以及属性序列化后的%00修改 开靶机 提到”备份“ 那看看有没有backup.php啥的 如果网站存在备份文件&#xff0c;常见的备份文件后缀名有&#xff1a;“.gi…

嵌入式数据库-Sqlite3

阅读引言&#xff1a; 本文将会从环境sqlite3的安装、数据库的基础知识、sqlite3命令、以及sqlite的sql语句最后还有一个完整的代码实例&#xff0c; 相信仔细学习完这篇内容之后大家一定能有所收获。 目录 一、数据库的基础知识 1.数据库的基本概念 2.常用数据库 3.嵌入式…

Qt中的OpenGL

一、OpenGL简介 1.1什么是OpenGL Open Graphics Library&#xff0c;它是一个由Khronos组织制定并维护的规范(Specification)OpenGL核心是一个C库&#xff0c;同时也支持多种语言的派生 1.2 核心模式&#xff08;Core-profile&#xff09; 也叫可编程管线&#xff0c;提供了…

网络安全应急响应:保护网络安全的最后一道防线

网络安全应急响应&#xff1a;保护网络安全的最后一道防线 网络安全是当今信息社会中至关重要的问题&#xff0c;网络攻击的频繁发生使得企业、政府和个人面临着越来越大的安全威胁。为了及时有效地应对网络安全事件&#xff0c;网络安全应急响应成为了必不可少的一环。 小德将…

WPF中继承ItemsControl子类控件数据模板获取选中属性

需求场景 列表类控件&#xff0c;如 ListBox、ListView、DataGrid等。显示的行数据中&#xff0c;部分内容依靠选中时触发控制&#xff0c;例如选中行时行记录复选&#xff0c;部分列内容控制显隐。 案例源码以ListView 为例。 Xaml 部分 <ListView ItemsSource"{Bi…

centOS安装git客户端

测试环境&#xff1a;centOS stream 9 first:更新centos系统 sudo yum update sencond:安装git客户端 sudo yum install git third:验证安装是否成功 git --version 第四步&#xff1a;配置Git用户名和电子邮件地址 git config --global user.name "你的用户名&qu…

Go语言介绍及Go语言成功的项目列举

Go语言介绍&#xff1a; Go即 Golang &#xff0c;是 Google 公司 2009 年 11 月正式对外公开的一门编程语言。 根据 Go 语言开发者自述&#xff0c;近 10 多年&#xff0c;从单机时代的 C 语言到现在互联网时代的 Java &#xff0c; 都没有令人满意的开发语言&a…

【卫星家族】 | 高分六号卫星影像及获取

1. 卫星简介 高分六号卫星&#xff08;GF-6&#xff09;于2018年6月2日在酒泉卫星发射中心成功发射&#xff0c;是高分专项中的一颗低轨光学遥感卫星&#xff0c;也是我国首颗精准农业观测的高分卫星&#xff0c;具有高分辨率、宽覆盖、高质量成像、高效能成像、国产化率高等特…

37.HarmonyOS鸿蒙系统 App(ArkUI) 创建第一个应用程序hello world

HarmonyOS App(ArkUI) 创建第一个应用程序helloworld 线性布局 1.鸿蒙应用程序开发app_hap开发环境搭建 3.DevEco Studio安装鸿蒙手机app本地模拟器 打开DevEco Studio,点击文件-》新建 双击打开index.ets 复制如下代码&#xff1a; import FaultLogger from ohos.faultL…

nginx | nginx反向代理/负载均衡/缓存

文章目录 一、Nginx 反向代理1.1 nginx 文件结构1.2 默认的nginx配置文件1.3 实践中的 nginx.conf 二、Nginx 负载均衡2.1 热备负载均衡2.2 轮询负责均衡2.3 加权轮询负载规则2.4 ip_hash 负载均衡2.5 对特定资源实现负载均衡2.6 对不同域名实现负载均衡2.7 实现带有URL重写的负…

JAVAEE之JavaScript

1.JavaScript JavaScript (简称 JS) 是世界上最流行的编程语言之一 是一个脚本语言, 通过解释器运行 主要在客户端(浏览器)上运行, 现在也可以基于 node.js 在服务器端运行. 脚本是什么&#xff1f; 脚本&#xff08;script&#xff09;是使用一种特定的描述性语言&#x…