实验室：身份验证通过OAuth隐式流程

1. 在通过Burp代理流量的同时，单击“我的帐户”并完成OAuth登录过程。之后，您将重定向返回博客网站。beplay体育能用吗
2. 在Burp中，转到“代理”>“ HTTP历史记录”，研究构成OAuth流的要求和响应。这始于授权请求获取 /auth？client_id = [...]。
3. 请注意，客户端应用程序（博客网站）从OAuth服务中接收有关用户的一些基本信息。beplay体育能用吗然后，它通过发送一个来记录用户邮政请求自己包含此信息/认证端点，以及访问令牌。
4. 发送帖子 /身份验证请求打burp burp。在中继器中，将电子邮件地址更改为carlos@carlos-montoya.net并发送请求。观察您不会遇到错误。
5. 右键单击邮政请求并选择“浏览器中的请求”>“原始会话中的请求”。复制此URL并在浏览器中访问。您将登录Carlos，并解决了实验室。

迈克尔·索默（Michael Sommer）