Когда я вхожу и выхожу из определенного веб-сайта:https://worldcat.authn.worldcat.org/login/manageduser-ui/cmnd/useraction/login?acsURL=https%3A%2F%2Fauthn.sd00.worldcat.org%2Fwayf%2Fmetaauth-ui%2Fcmnd%2Fprotocol%2Facs%2Fsaml2&controllerMethod=samlpost(это страница входа на oclc.org/developer), вот последовательность HTTP-запросов:
Для входа:
Я использую Charles Proxy.
Я не вижу, чтобы мои данные для входа передавались. И я вижу, что в конце каждого входа/выхода выполняется запрос POST с кучей ненужных символов в теле сущности. Например, это запрос POST из входа:
POST / HTTP/1.1
Host: ocsp.digicert.com
User-Agent: ocspd/1.0
Content-Length: 88
Content-Type: application/ocsp-request
Connection: close
0V0T �0M0K0I0 +�_¦zµ'5ÎC£Ç
a1aÕ/(çF8´,áÆÙâ6
¥Þ$QèÖ~èÏ
Я пытаюсь понять, как работает эта технология. Если мои данные для входа не передаются в HTTP-запросах или не определяются, почему и как еще они могли попасть на сервер?
решение1
Вы входите на сайт HTTPS, что означает, что связь зашифрована. Запрос, который вы ищете, на самом деле является одним из запросов CONNECT, но вы не сможете увидеть его содержимое таким образом.
Вам необходимо настроить прокси-сервер Charles длячеловек-посередине ваше HTTPS-соединение. Это заставит Charles proxy расшифровать контент, который отправляет ваш браузер, чтобы показать его вам, прежде чем повторно зашифровать его и отправить на исходный сайт. Обратите внимание, что, как упоминалось на странице, на которую я ссылался, если вы не добавите сертификат Charles CA как доверенный, в браузере появится предупреждение.
Запросы POST, которые вы видите, на самом деле связаны с HTTPS. Ваш браузер связывается с CA, выдавшим сертификат веб-сайта, спрашивая его, действителен ли сертификат. Если вы хотите понять запрос POST, который вы показали, вам следует прочитать оOCSPи, вероятно, найти декодер ASN.1, поскольку это формат тела запроса.