永洪社区

标题: 单点登录后的退出 [打印本页]

作者: No上善若水 时间: 2023-6-21 10:42
标题: 单点登录后的退出
本帖最后由 No上善若水于 2023-6-21 10:48 编辑

背景：等保测评的时候，发现我们这边的token失效后，bi这边还能用失效的token的去访问报表。
需求：我们的token过期后，再用这个token去访问bi的时候，应该不能访问bi报表数据。
尝试了使用postman去调用https://xxx/bi/api?action=logout接口去退出登录，显示退出成功，但如果用下面的url（域名/bi/?proc=1&action=viewer&hback=true&db=xxx&token=xxx&city=&district=&sysFlag=test）再次去请求，还是能查到数据。

然后也尝试使用ip:port/bi/Viewer?proc=11&action=logout&isJs=true方式（先用上面的的url地址打开bi报表，然后把ip:port/bi/Viewer?proc=11&action=logout&isJs=true接口粘贴到网页中，然后刷新页面），会提示登录过期，但如果我重新用上面的域名/bi/?proc=1&action=viewer&hback=true&db=xxx&token=xxx&city=&district=&sysFlag=test去请求，还是能打开bi报表

作者: yhdata_yzm 时间: 2023-6-21 10:42
这个跟你的回调接口有关系吧。
产品只是获取你的回调接口的返回值，请问这个token过期后的返回值正确吗

作者: No上善若水 时间: 2023-6-21 11:20

yhdata_yzm 发表于 2023-6-21 11:10
这个跟你的回调接口有关系吧。
产品只是获取你的回调接口的返回值，请问这个token过期后的返回值正确吗 ...

噢噢，我这边网关开了白名单，回调接口没有校验token是否过期，我试试在回调接口里面做一下这个逻辑。如果我在回调接口里面做了token过期校验的话，那前端是否还需要在退出的时候调用ip:port/bi/Viewer?proc=11&action=logout&isJs=true接口呢？

作者: yhdata_yzm 时间: 2023-6-21 13:30

No上善若水发表于 2023-6-21 11:20
噢噢，我这边网关开了白名单，回调接口没有校验token是否过期，我试试在回调接口里面做一下这个逻辑。如 ...

就不用了，都无法正常登陆为啥还有调用logout

作者: No上善若水 时间: 2023-6-21 14:01

yhdata_yzm 发表于 2023-6-21 13:30
就不用了，都无法正常登陆为啥还有调用logout

好的，我试试。

作者: No上善若水 时间: 2023-6-21 14:11

yhdata_yzm 发表于 2023-6-21 13:30
就不用了，都无法正常登陆为啥还有调用logout

我自测了一下，加了鉴权退出后，如果不更换浏览器，同一个页面去刷新的话，还是能请求到页面，调用https://xxx/bi/Viewer?proc=11&action=logout&isJs=true的后才失效。

作者: yhdata_yzm 时间: 2023-6-21 14:14

No上善若水发表于 2023-6-21 14:11
我自测了一下，加了鉴权退出后，如果不更换浏览器，同一个页面去刷新的话，还是能请求到页面，调用https: ...

用无痕呢

作者: No上善若水 时间: 2023-6-25 10:10

yhdata_yzm 发表于 2023-6-21 14:14
用无痕呢

无痕应该可以，我没测试。针对我们这种情况，还是得前端调用一下https://xxx/bi/Viewer?proc=11&action=logout&isJs=true比较合适。

欢迎光临永洪社区 (http://club.yonghongtech.com/)