回帖奖励 99 S豆 回复本帖可获得 1 S豆奖励! 每人限 1 次(中奖概率 40%)
【排障那些事】零信任与三方CAS对接存在微信二维码登录无法正常加载
  

luoxue_zl 881

{{ttag.title}}
本帖最后由 luoxue_zl 于 2024-8-17 11:57 编辑

一、问题描述
项目环境:2.10版本分布式零信任(基础环境泛域名已配置完成),CAS为友商X捷统一认证平台
项目问题:友商CAS认证页面存在微信二维码登录功能,在CAS认证页面经过零信任免认证代理后无法正常获取二维码,其他功能正常。
二、告警信息
通过F12查看加载流程确认,二维码报错为redirect_uri参数错误。
三、根因
file:///C:/Users/luoxue/AppData/Local/Temp/ksohtml31852/wps2.jpg
问题原因为在微信开发平台中填写的redirect_urisso.xxx.edu.cn,在经过零信任代理后redirect_uri变为泛域名格式sso-xxx-edu-cn-s.vpn.xxx.edu.cn:8118导致微信redirect_uri校验参数错误。
四、处理过程
预想三种方案解决(每种方案初始环境均为SSO认证由aTrust代理访问。)
方案一:将微信开发这平台redirect_uri改为泛域名格式
弊端:经过讨论网页redirect_uriJS脚本自动获取当前网页拼接而成,会影响内网使用。
方案二:sso认证页面互联网可直接访问,将sso认证页面放弃通过atrust代理可实现网页自动生成redirect_uri与微信开发平台配置redirect_uri一致。
弊端:登录atrust使用认证域名为sso.xxx.edu.cn,登录aTrust后访问泛域名资源触发票据校验的SSO域名为泛域名sso-xxx-edu-cn-s.vpn.xxx.edu.cn,会导致登录atrust生成的票据无法被应用获取,从而触发第二次认证页面。
方案三:根据aTrust泛域名代理原理得知,客户端发起泛域名请求,将数据包发送至代理网关,由代理网关将泛域名转换为真实应用地址并访问应用。因此,采用将微信验证域名强制通过免认证应用由代理网段代理访问是微信开发者平台获取到的域名问sso.xxx.edu.cn实现redirect_uri一致。
五、解决方案
1.新增免认证应用https://open.weixin.qq.com强制将访问微信开发平台数据经过代理网关代理解决
附:


aTrust对接统一身份认证存在微信二维码登录场景.pdf

142.78 KB, 下载次数: 11

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

山东_马立彬 发表于 2024-8-17 10:36
  
很好的资料,学习到了
嘀嘀柠柠 发表于 2024-8-18 04:12
  

回帖奖励 +1 S豆

每天坚持打卡学习签到!!
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

25
14
5

发帖

粉丝

关注

本版达人