Wenn ich mich bei einer bestimmten Website anmelde und abmelde:https://worldcat.authn.worldcat.org/login/manageduser-ui/cmnd/useraction/login?acsURL=https%3A%2F%2Fauthn.sd00.worldcat.org%2Fwayf%2Fmetaauth-ui%2Fcmnd%2Fprotocol%2Facs%2Fsaml2&controllerMethod=samlpost(es ist die Anmeldeseite für oclc.org/developer), dies ist die Abfolge der HTTP-Anfragen:
Für die Anmeldung:
Ich verwende Charles Proxy.
Ich sehe nicht, dass meine Anmeldeinformationen weitergegeben werden. Und ich sehe, dass am Ende jeder Anmeldung/Abmeldung eine POST-Anforderung mit einer Reihe von unbrauchbaren Zeichen im Entity-Body gestellt wird. Dies ist beispielsweise die POST-Anforderung der Anmeldung:
POST / HTTP/1.1
Host: ocsp.digicert.com
User-Agent: ocspd/1.0
Content-Length: 88
Content-Type: application/ocsp-request
Connection: close
0V0T �0M0K0I0 +�_¦zµ'5ÎC£Ç
a1aÕ/(çF8´,áÆÙâ6
¥Þ$QèÖ~èÏ
Ich versuche zu verstehen, wie diese Technologie funktioniert. Wenn meine Anmeldeinformationen in den HTTP-Anfragen nicht übermittelt oder nicht erkannt werden, warum und wie könnten sie sonst den Server erreicht haben?
Antwort1
Sie melden sich auf einer HTTPS-Website an, was bedeutet, dass die Kommunikation verschlüsselt ist. Die gesuchte Anfrage ist eigentlich eine der CONNECT-Anfragen, aber Sie können den Inhalt auf diese Weise nicht sehen.
Sie müssen den Charles-Proxy so konfigurieren,Man-in-the-Middle Ihrer HTTPS-Verbindung. Dadurch entschlüsselt Charles den Inhalt, den Ihr Browser sendet, um ihn Ihnen anzuzeigen, bevor er erneut verschlüsselt und an die ursprüngliche Site gesendet wird. Beachten Sie, dass, wie auf der von mir verlinkten Seite erwähnt, eine Warnung im Browser angezeigt wird, wenn Sie das Charles CA-Zertifikat nicht als vertrauenswürdig hinzufügen.
Die angezeigten POST-Anfragen sind eigentlich auf HTTPS zurückzuführen. Ihr Browser kontaktiert die Zertifizierungsstelle, die das Zertifikat der Website ausgestellt hat, und fragt sie, ob das Zertifikat noch gültig ist. Wenn Sie die angezeigte POST-Anfrage verstehen möchten, sollten Sie Folgendes lesen:OCSPund wahrscheinlich einen ASN.1-Decoder finden, da dies das Format des Anforderungstexts ist.