发表新帖
发表新帖

PasswordTokenGranter具体如何关掉?

Blade 未结
关注 举报
2 155
six_six_2005
six_six_2005 剑圣 2025-02-28 15:02

一、该问题的重现步骤是什么?

1. 如果网信觉得password模式也是漏洞,那你们可以直接把PasswordTokenGranter关掉,来请求验证就不给通过,只保留验证码模式。

2. 

3.


二、你期待的结果是什么?实际看到的又是什么?


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

Bladex 3.3.1

四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

2条回答
  • admin - BladeX作者
    2025-02-28 15:06

    https://center.javablade.com/blade/BladeX-Boot/src/commit/3758144b7b016c4def65be1d0e636ae7e3352131/src/main/java/org/springblade/modules/auth/granter/PasswordTokenGranter.java#L62


    注释掉这里的逻辑,改成抛异常,异常信息你们自己定,比如:“不支持此认证模式”

    0 讨论(0)
  • six_six_2005
    2025-02-28 18:15

    禁用以后,小程序登录没有验证码,都登录不了了。

    作者追问:2025-02-28 18:28

    这个需要你们自己去判断了,就和我们之前说的atm机也没验证码。市面上本来就有很多场景是不需要验证码的。系统已经失败五次就封号了,不知道怎么才能被人爆破。

    如果你们小程序要登录,那就封装一个新的granter出来,没有小程序的code等信息就不能认证通过。

    回答: 2025-02-28 19:17

    加了一个判断,要求必须传grantType,已经过关了

    作者追问:2025-02-28 20:39

    提前做预防吧,就怕他们哪天再来个报告,说传grantType为password就不需要验证码了,是漏洞需要修复。

    0 讨论(0)
代码语言
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
请问系统是不是对 生产环境(prod)启动有特殊处理? 1
bladex引用本地 bladex-tool包 ,core-db中没有mssql驱动; 1
自带表格功能如何导出全部数据 1
cloud4.2登录时提示令牌无效问题 1
本地环境部署好后admin无法登陆 2
avue中,自定义的表单怎么实现用户快速重复点击提交,只请求一次后台 1
退出登录,提示存在问题,"未获得用户的租户信息" 1
boot版本的BladeX 4.0的有动态签名相关的集成吗,在文档哪一部分有说明 1
bladex接口文档blade-report访问报错 1
bladex中既然已经有了bladex-job用的是powerjob,为什么BladeX-Biz中还用xxl-job 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2025 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号