proItheus
commented
2 years ago 服务器生成的,然后它把这个cookie塞到302重定向的url里
Closed 1357310795 closed 2 years ago
proItheus
commented
2 years ago 服务器生成的,然后它把这个cookie塞到302重定向的url里
1357310795
commented
2 years ago 后面GET /oauth2/authorize的JSESSIONID是前面第二步GET /oauth2/authorize时服务器返回的 最终的JSESSIONID是在GET /jaccountlogin那一步由用户端自己生成的
对网页抓包分析: 认证时https://jaccount.sjtu.edu.cn/jaccount/ulogin这个POST请求的Cookie中的JSESSIONID是准备工作时返回的JSESSIONID 然后成功认证没有更新JSESSIONID(Set-Cookie里面只有JAVisitedSites和JAAuthCookie) 下一步GET https://jaccount.sjtu.edu.cn/jaccount/jalogin?sid=……时JSESSIONID没变,返回302时也没更新JSESSIONID 但是再下一步 GET https://jaccount.sjtu.edu.cn/oauth2/authorize?……时Cookie里的JSESSIONID变成了一个没见过的字符串 那么这个字符串是哪来的???