蓬勃来客跳过token验证的方法

最新推荐文章于 2024-05-19 17:05:33 发布
最新推荐文章于 2024-05-19 17:05:33 发布
阅读量393 收藏
点赞数
文章标签: java idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i_am_love_CrCr/article/details/131785719
版权

蓬勃来客跳过身份验证

蓬勃来客提供了自定义注解
在这里
在这里插入图片描述
代码如下

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
}

所以不想让token拦截有两种简单的方式
1)使用excludePaths,在excludePaths后追加你需要放行的地址

    /**
     * 拦截器不拦截的路径,doc,swagger,文件上传的路径,
     * 在webapps用excludePathPatterns不生效,有bug,因为这些路径不存在,自动映射到/error.html
     *
     * 在设置服务器时要把token检验关掉一下
     */
//    List<String> excludePaths = Arrays.asList("/api-docs", "/swagger-ui/","/druid/","/app/*", Constants.RESOURCE_PREFIX + "/");
    List<String> excludePaths = Arrays.asList("/api-docs", "/swagger-ui/","/druid/","/app/*","/menuScrm/*", Constants.RESOURCE_PREFIX + "/");
//    List<String> excludePaths = Arrays.asList("/api-docs", "/swagger-ui/","/druid/", Constants.RESOURCE_PREFIX + "/");

第二种方法就是添加上@PassToken的注解
过滤代码如下

//检查是否有passtoken注释,有则跳过认证
        if (method.isAnnotationPresent(PassToken.class)) {
            PassToken passToken = method.getAnnotation(PassToken.class);
            return true;
        }

使用代码如下

    @GetMapping("/getAppInfo")
    @PassToken
    @ApiOperation("获取appId")
    @Log(modelName = "微信第三方平台授权信息", operatorType = "获取appId")
    public R<MpAppIdDTO> getAppInfo(String extCorpId){
        return R.data(mpAccreditService.getAppInfo(extCorpId));
    }

要注意Log

@Log(modelName = "微信第三方平台授权信息", operatorType = "获取appId")

这个注解还是建议删掉
有些log打印日志是要获取到当前用户信息的所以再没登入状态下,就算使用了@PassToken有时也会报错的!

小树苗_浇水
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
swagger免token鉴权
weixin_43693592的博客
10-09 5472
使用swagger很简单,但是在引入项目里面是由于,项目使用了Spring Security OAuth实现鉴权体系,所以浏览器访问swagger的时候一直报401,说没权限。网上的很多方案主要是两种方法: 1、鉴权时过滤指定请求,但是我没弄成功,可能是操作问题。 2、swagger请求时带token,但是我弄了好像也不行。 于是换一种思路,直接授权,自定义注解。 1、自定义注解 @Target(...
Spring Cloud Feign统一设置验证token实现方法解析
08-18
Spring Cloud Feign统一设置验证token实现方法解析 Spring Cloud Feign是一个基于Netflix的Feign组件,提供了一个简洁的方式来构建RESTful风格的微服务接口。Feign组件提供了一个统一的接口调用方式,使得微服务...
绕过token脚本
08-14
该脚本是用来绕过user_token的,是用PHP写的,可以用在爆破也可以用在其他方面
token绕过
weixin_58782362的博客
02-11 6140
pikachu中token绕过
CSRF 攻击实验:Token 不与 Session 绑定绕过验证
最新发布
Flag少侠的博客
05-19 3967
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
如何在本地跳过小程序token验证测试接口
dj1540225203的博客
05-15 1373
不需要验证token,这样做方便测试。
bp前端验证绕过token绕过
weixin_42786460的博客
10-25 653
bp前端验证绕过token绕过
基于Token的身份验证方法
10-18
总结来说,基于Token的身份验证方法,特别是JWT,提供了一种轻量级、安全且易于扩展的认证方案。相比于传统的Session机制,它减少了服务器的存储和管理负担,增强了分布式系统的互操作性,广泛应用于现代Web和移动...
python 产生tokentoken验证方法
01-21
在经过再三思考之后,自己试着实现一个产生token验证token的方案。接下就把code贴出来。希望读者指导一下。 2、产生token 原理: 通过hmac sha1 算法产生用户给定的key和token的最大过期时间戳的一个消息摘要,将...
java token验证和注解方式放行
08-28
"java token验证和注解方式放行"的主题涉及了两个关键概念:Token验证和基于注解的权限管理。Token通常用于验证用户身份,防止未授权的访问。下面我们将深入探讨这两个主题。 首先,Token验证是一种常见的身份验证...
项目中没有前端页面显示 后端绕过token登录 测试接口 需要注释token 再直接测试接口
D_Zhou_Sir的博客
08-10 1500
绕过token登录,直接测试接口
Token验证绕过 靶场实战
weixin_54771278的博客
06-08 1637
实验介绍 1.漏洞简介 在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。 具有以下几点特性: 1)无状态、可扩展 2)支持移动设备 3)跨程序调用 4)安全 2.原理基于Token验证原理 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。 NoSession意味着你的程序可以根据需要去增减机器,而不用去担心用户是...
暴力破解之绕过token
a987329381的博客
05-28 973
由于每次登录,token的值都会随机改变,所以暴力破解的基本思路为:每次登陆时,返回上次登录时的token值,由于此时的token值还没有改变,即可完成暴力破解。与之前的操作一致,区别在于多了一个token变量,且这次使用pitchfolk的爆破方式。在搜索栏中搜索token,选中并复制token的值。回到payloads,将刚才复制的数字粘贴到如下栏内。首先还是输入随机账号密码进行抓包。在options中勾选此选项。在token这一栏,选择如下。点击add,并如下图操作。在此页面将线程改为1。
渗透测试-暴力破解之验证码测试token防爆破绕过
lza20001103的博客
05-01 4511
暴力破解之验证token防爆破绕过
暴力破解-绕过token防御
weixin_45095113的博客
11-11 871
暴力破解绕过token防御
暴力破解之绕过token防御
anan的博客
04-14 8167
来不及到博客上写文章了,把公众号的文章转发过来,欢迎大家关注我的公众号:小白学IT 大家好,我是阿里斯,一名IT行业小白。今天我分享的内容是关于网站登录使用token防御如何进行绕过的一篇文章。 绕过token防御暴力破解–思路 客户端token跟随用户名和密码一起提交给服务器并且与服务器端token值进行对比,那么也就意味着每次客户端请求服务器都会进行token校验是否正确。如果我们想要爆破这...
如何在跳过令牌token验证下将微信公众号绑定到服务器
weixin_47777564的博客
10-01 198
我们将服务器URL地址所指定的文件里面写入代码(指定文件为php文件) <?php echo $_GET['echostr'] > 之后无论令牌内容是什么,都可以跳过验证连接服务器,但也由于跳过验证不太安全,所以尽量建议大家不用这种方法 ...
pikachu靶场--暴力破解--验证绕过以及token防爆破知识点【1.2】~【1.4】
lmei1228的博客
05-31 663
如果我们想要爆破的话,在每次请求前要把上一次请求的响应包获取到,把其中的token值取出来,token采用递归payload,把上次请求的token值作为本次请求的token值,然后再进行发送,进入options选项,从响应中提取选项,fetch response,在响应包中选中token值,然后提交token,即可运行。暴力破解--验证绕过 on client:正确的应该是,后端生成验证码,传到前端时是图片的形式,(而不是以字符串的形式)用户在前端输入验证码,与后端的验证码值做对比。
自定义注解跳过Token验证(二)
zwy12321的博客
08-30 734
在JWT+token+redis实现登录逻辑中通过配置webconfig对登录接口进行放行,现通过给对应接口添加注解的方式使其不用经过token验证PassToken.java 自定义注解AuthenticationInterceptor.java 修改拦截器preHandle方法@Override//判断方法是否有PassToken注解 如果有则放行//获取请求头信息try {// 验证 tokentry {
oauth2 跳过token
05-16
如果你真的需要在开发过程中跳过 OAuth2 的 token 验证,那么你可以在应用程序中添加一个 bypass 标志,以便在特定环境中跳过 token 验证。但是,一旦你将应用程序部署到生产环境中,你必须确保 OAuth2 token 验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值