Cuando inicio y cierro sesión en un sitio web en particular:https://worldcat.authn.worldcat.org/login/manageduser-ui/cmnd/useraction/login?acsURL=https%3A%2F%2Fauthn.sd00.worldcat.org%2Fwayf%2Fmetaauth-ui%2Fcmnd%2Fprotocol% 2Facs%2Fsaml2&controllerMethod=samlpost(es la página de inicio de sesión de oclc.org/developer), esta es la secuencia de solicitudes HTTP:
Para iniciar sesión:
Estoy usando Charles Proxy.
No veo que se pase mi información de inicio de sesión. Y veo que al final de cada inicio de sesión/cierre de sesión, se realiza una solicitud POST con un montón de caracteres basura en el cuerpo de la entidad. Por ejemplo, esta es la solicitud POST del inicio de sesión:
POST / HTTP/1.1
Host: ocsp.digicert.com
User-Agent: ocspd/1.0
Content-Length: 88
Content-Type: application/ocsp-request
Connection: close
0V0T �0M0K0I0 +�_¦zµ'5ÎC£Ç
a1aÕ/(çF8´,áÆÙâ6
¥Þ$QèÖ~èÏ
Estoy tratando de entender cómo funciona esta tecnología. Si mi información de inicio de sesión no se pasa en las solicitudes HTTP o no se detecta, ¿por qué y de qué otra manera podría haber llegado al servidor?
Respuesta1
Estás iniciando sesión en un sitio web HTTPS, lo que significa que la comunicación está cifrada. La solicitud que estás buscando en realidad es una de CONNECT, pero no podrás ver su contenido de esta manera.
Necesita configurar el proxy de Charles parahombre en el medio su conexión HTTPS. Esto hará que el proxy Charles descifre el contenido que envía su navegador para mostrárselo, antes de volver a cifrarlo y enviarlo al sitio original. Tenga en cuenta que, como se menciona en la página que vinculé, a menos que agregue el certificado Charles CA como confiable, se mostrará una advertencia en el navegador.
Las solicitudes POST que estás viendo en realidad se deben a HTTPS. Su navegador se está comunicando con la CA que emitió el certificado del sitio web y le pregunta si el certificado aún es válido. Si desea comprender la solicitud POST que mostró, debe leer sobreOCSPy probablemente encuentre un decodificador ASN.1 ya que ese es el formato del cuerpo de la solicitud.