绕过dolphinscheduler 框架的登录,进行免密登录

已于 2022-05-13 10:17:21 修改
阅读量3.5k 收藏 1
点赞数
分类专栏: dolphinscheduler 文章标签: 前端 安全 http
于 2022-02-08 15:55:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010978399/article/details/122824492
版权

免密登录

首先需要知道,dolphinscheduler的拦截有哪些

前台的url拦截;后台的ur拦截

拦截的英文(Interceptor),就全局搜这单词肯定会有收获
很多时候去看一个项目,有点摸不着头脑,那就去搜吧,搜关键词,就比如url的拦截,我们就搜Interceptor这个英文单词

前台的拦截器

index.js

在这里插入图片描述

在这里插入图片描述
走的是一个get方法,什么方法呢,这个方法藏在config里面

/datastudio/users/get-user-info

在这里插入图片描述

那么 /datastudio/users/get-user-info 这个方法会经过几层呢,答案是:两层

1、拦截器一层,拦截器就是LoginHandlerInterceptor(这个,在后台的拦截器部分有提到),所以需要走到免密那边,把用户塞到session_user
2、get-user-info 获取user信息一层,userController的getUserInfo方法

我们会发现,getUserInfo这个方法需要用到session_user这个参数数据,所以①先走拦截器②再走getUserInfo这个顺序是ok的,不然会就会报用户找不到的错误
在这里插入图片描述

后台的拦截器

1、拦截的英文(Interceptor),就全局搜这单词肯定会有收获

很多时候去看一个项目,有点摸不着头脑,那就去搜吧,搜关键词,就比如url的拦截,我们就搜Interceptor这个英文单词
在这里插入图片描述
这个文件夹里不就是么

2、LoginHandlerInterceptor,一看这个名字就是登录拦截

登录有二种形式
1、token(这个咱不用)
2.、用户名密码,咱就直接校验用户名或者id(所以userid是必须要有的)就让user的基础信息,塞入到session里面,我这里是直接写死的,你们可以,做一个时间戳,和加密


  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {

    // get token
    String token = request.getHeader("token");
    String userid = request.getParameter("userid");
    User user = null;
    if(!StringUtils.isEmpty(userid)){
      //BI免密登陆
      //userid,time,token,
      String time = request.getParameter("timeString");
      String tk = request.getParameter("tk");
      //TODO
      //再次加密校验 userid+time 加密后 跟tk 验证 一致
      //登陆
      String  tkMD5 = getMD5Str(userid + time);
      QueryWrapper<User> wrapper = new QueryWrapper<>();
      wrapper.eq("user_name", userid);
      user = userMapper.selectOne(wrapper);

      /* session 的内容*/
      String ip = BaseController.getClientIpAddress(request);
      String sessionId = sessionService.createSession(user, ip);
      response.setStatus(HttpStatus.SC_OK);
      Map<String, String> cookieMap = Collections.singletonMap(Constants.SESSION_ID, sessionId);
      for (Map.Entry<String, String> cookieEntry : cookieMap.entrySet()) {
        Cookie cookie = new Cookie(cookieEntry.getKey(), cookieEntry.getValue());
        cookie.setPath("/");
        cookie.setHttpOnly(false);
        response.addCookie(cookie);
      }
      /* session 的内容 */
      /*if(tk.equals(tkMD5)){

      }*/
    }else{
      if (StringUtils.isEmpty(token)){
        user = authenticator.getAuthUser(request);
        // if user is null
        if (user == null) {
          response.setStatus(HttpStatus.SC_UNAUTHORIZED);
          logger.info("user does not exist");
          return false;
        }
      }else {
        user = userMapper.queryUserByToken(token);
        if (user == null) {
          response.setStatus(HttpStatus.SC_UNAUTHORIZED);
          logger.info("user token has expired");
          return false;
        }
      }
    }
    request.setAttribute(Constants.SESSION_USER, user);
    return true;
  }

3、PasswordAuthenticator,密码校验,在有token的情况下,会走用户校验,因为之前已经

在这里插入图片描述

@Override
public User getAuthUser(HttpServletRequest request) {
    Session session = sessionService.getSession(request);
    if (session == null) {
        logger.info("session info is null ");
        return null;
    }
    //get user object from session
    return userService.queryUser(session.getUserId());
}

特别重要的一个东西!!!!Session的一个返回,保持登录的秘密

代码里面的这个部分特别重要

cookie.setPath("/");
cookie.setHttpOnly(false);

为什么要加这个呢,首先加上 cookie.setPath(“/”); ,表示全局的路径,不然前台js获取不了,其次cookie.setHttpOnly(false); 也是

/* session 的内容*/
      String ip = BaseController.getClientIpAddress(request);
      String sessionId = sessionService.createSession(user, ip);
      response.setStatus(HttpStatus.SC_OK);
      Map<String, String> cookieMap = Collections.singletonMap(Constants.SESSION_ID, sessionId);
      for (Map.Entry<String, String> cookieEntry : cookieMap.entrySet()) {
        Cookie cookie = new Cookie(cookieEntry.getKey(), cookieEntry.getValue());
        cookie.setPath("/");
        cookie.setHttpOnly(false);
        response.addCookie(cookie);
      }
      /* session 的内容 */

在这里插入图片描述

吃素的哈士奇
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用cookie绕过验证码登录的实现代码
08-29
本文通过实例代码给大家详细介绍了使用cookie绕过验证码登录的实现方法,需要的朋友参考下吧
绕过后台登录字典
05-04
含有php和asp的'or'='or'的绕过登录的字典,可使用burpsuite爆破测试是否成功
selenium跳过webdriver检测并模拟登录淘宝
09-19
主要介绍了selenium跳过webdriver检测并模拟登录淘宝,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python GUI自动化实现绕过验证码登录
09-18
主要介绍了python GUI自动化实现绕过验证码登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Python Selenium Cookie 绕过验证码实现登录示例代码
09-20
主要介绍了Python Selenium Cookie 绕过验证码实现登录示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
DolphinScheDuler配置
dhasdh的博客
03-27 2990
一、配置前置准备工作JDK:下载JDK (1.8+),安装并配置二进制包:在下载页面下载 DolphinScheduler 二进制包数据库:PostgreSQL (8.2.15+) 或者 MySQL (5.7+),两者任选其一即可,如 MySQL 则需要 JDBC Driver 8.0.16注册中心:ZooKeeper (3.4.6+)二、创建配置用户免密登录以及权限。
dolphinscheduler部署
qq_45260724的博客
03-12 1004
dolphinscheduler部署。
springboot 密码加密
2301_76965813的博客
04-16 1865
是启动spring容器的关键方法复制来注册我们下面的postProcessors。
CDH6.3.2整合DolphinScheduler3.0.0
qq_18453581的博客
01-05 2533
CDH6.3.2整合DolphinScheduler3.0.0 测试通过,正常启动
DolphinScheduler 3.1.0 海豚集群部署配置
shuyv的博客
02-02 5855
dolphinscheduler3.1.0 以上
DolphinScheduler】api调用
hyj
10-25 5976
一、背景 一般都是通过页面来创建项目、流程等,但是与第三方系统集成就需要通过调用 API 来管理项目、流程。 二、说明 在第三方系统集成调用api的时候需要使用token信息,所以要先创建token。 三、创建token 1、登录调度系统,点击 "安全中心",再点击左侧的 "令牌管理",点击 "令牌管理" 创建令牌 2、选择 "失效时间" (Token有效期),选择 "用户" (以指定的用户执行接口操作),点击 "生成令牌" ,拷贝 Token 字符串,然后...
Apache DolphinScheduler 需要的sudo,还可以这么玩,长见识了!
Apache DolphinScheduler开源社区
12-16 1490
Apache DolphinScheduler(incubator)需要的sudo,还可以这么玩,长见识了!在新一代大数据任务调度 -Apache DolphinScheduler(以...
Dolphinscheduler集群搭建
最新发布
scofild950303的博客
11-22 1035
完成了基础环境的准备后,在运行部署命令前,还需要根据环境修改配置文件。完成上述步骤后,您已经为 DolphinScheduler 创建一个新数据库,现在你可以通过快速的 Shell 脚本来初始化数据库。DolphinScheduler 本身不依赖 Hadoop、Hive、Spark,但如果你运行的任务需要依赖他们,就需要有对应的环境支持。配置完成后,可以通过运行命令 ssh localhost 判断是否成功,如果不需要输入密码就能ssh登陆则证明成功。创建部署用户,并且一定要配置 sudo 免密
SSH免密登录_Permission denied (publickey,gssapi-keyex,gssapi-with-mic)
qq_38294275的博客
02-10 4155
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
大数据培训-DolphinScheduler(二)
zjjcchina的博客
08-02 1120
4、在新建的项目中创建新的工作流,在工作流创建画布上选择spark节点图标,创建spark任务,使用我们事先已经上传到资源中心的jar包,配置必要的参数。5、以此类推,分别创建出dwd层、dws层和ads层的任务流,并使用箭头连接,确定三个任务的先后执行顺序。10、选中箭头,将节点进行连接,建立任务间的执行顺序,点击保存,设置DAG图名称。9、创建三个简单的工作任务,执行简单输出,输出helloworld。11、测试,上线,需要先点击上线,再点击执行,执行前需要配置一些参数。6、上线、执行,进行测试。...
springboot项目集成dolphinscheduler调度器 可拖拽spark任务管理
刘大猫
05-22 2546
dolphinscheduler调度器接入注意事项等信息可参考我的上一篇博客进行了解,地址在这里 -> 一、功能清单 二、可拖拽spark任务管理 说明:任务管理实际是操作dolphinscheduler调度器中的项目中的用户下唯一工作流中的各种类型节点的管理操作 共用的依赖 <!--httpclient--> <dependency> <groupId>commons-httpclient</groupId> <artifac.
深入了解海豚调度DolphinScheduler
男神的专栏
05-31 3789
容错后处理:ZooKeeper Master容错完成之后则重新由DolphinSchedulerScheduler线程调度,遍历 DAG 找到”正在运行”和“提交成功”的任务,对”正在运行”的任务监控其任务实例的状态,对”提交成功”的任务需要判断Task Queue中是否已经存在,如果存在则同样监控任务实例的状态,如果不存在则重新提交任务实例。在这种架构下,集群中的管理者是被动态选择出来的,而不是预置的,并且集群在发生故障的时候,集群的节点会自发的举行"会议"来选举新的"管理者"去主持工作。
Dolphinscheduler的API接口问题
m0_64998696的博客
10-18 681
2:taskDefinition的taskCode与taskRelationJson的postTaskCode,与Locations中的taskCode要一样,这三个参数的形式可以看源码中的Test,里面有,这里给大家分别贴出来一个合格的形式。我们只需要在创建好task后,将获取到的taskCode再进行工作流关系中的修改工作流关系,将taskCode设置到一个任务的preTaskCode中,就可以使用查询project下的task中看到该task。这个code是自己写的一个随机14位随机数。
loadrunner绕过登录
09-15
要在LoadRunner中绕过登录,您可以使用以下方法之一: 1. 使用录制和回放功能:通过录制用户登录过程并将其回放,您可以自动完成登录过程。在脚本录制期间,LoadRunner会记录所有的HTTP请求和响应。您可以根据需要修改脚本以跳过登录步骤并直接访问需要测试的页面。 2. 使用参数化:通过将用户名和密码参数化,您可以在运行时通过数据表或参数文件提供凭据,而不是在每个脚本中硬编码它们。这样,您可以轻松地在不同的环境或用户之间切换。 3. 使用事务处理:您可以将整个登录过程作为一个事务处理,并在需要时将其禁用或跳过。这可以用于模拟已登录用户直接访问其他页面的情况。 请注意,绕过登录可能涉及到违反许可协议或未经授权访问系统的行为。在进行任何测试和开发活动之前,请确保您已获得适当的许可或授权,并遵守相关的法律和政策。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值