声明:本文章所有内容仅供学习使用,无其它任何目的,严禁用于商业用途和非法用途, 否则产生一切后果均与作者无关**
水一篇rs6专利登陆的文章,注意第一次请求redirect_uri接口的时候会返回一个set-Cookie,携带者返回的cookie再去过验证码,然后重新请求redirect_uri拿到的返回包才有用于请求JWT接口的code参数,因为懒省事,结果找了半天bug,希望后面的小伙伴不要踩雷了。
专利Authorization令牌分析
如果cookie没有问题的话,Authorization过期了的话请求详情页返回的是一个url,用户正常登陆接口返回的应该是数据,下面我们来分析一下这个参数怎么来的
长做逆向的一般看到Authorization: Bearer eyJhbGciOiJSUzI1NiJ9.就能想到这应该是登陆成功后服务器返回给我们的一个令牌(JWT)保护机制,关于JWT的介绍和加密组件信息可以看这篇文章:https://blog.csdn.net/Azyyan/article/details/128218263
1.这边儿搜索下,是哪一个包返回的
2.请求参数分析
post请求参数的查询字符串值通过跟栈分析会发现他是在虚拟机里面生成的一串值,用来做params的请求参数的,请求载荷直接搜索了一下结果也是返回的headers中返回的
3.带上返回的JWT令牌拼接下就能拿到数据了
上返回的token拼接下就能拿到数据了
