我正在测试一个使用OAuth2不记名令牌来授权请求的应用程序。我遇到的问题是访问令牌在 600 秒(10 分钟)后过期,然后所有请求都变为401 Unauthorized. 现在出现的问题是扫描程序可以继续使用错误的令牌运行,并且不会自动刷新令牌。
在这种情况下,我想做的是应用程序自动重新登录。
我尝试的是使用 options转到Project options-> Session handling rules-> Add-> Rule Actions-> 。在那里,我检查响应正文中是否始终在 HTTP 401 上发送的“授权被拒绝”。发生这种情况后,我有一个宏,它发出请求以获取新的访问令牌。但是我需要将新的访问令牌映射到-header。有人做过吗?从这个视图中可以使用 cookie 轻松完成,但我找不到如何使用令牌来完成。Check session is validIssue current requestAuthorization: Bearer
使用Burp Suite Professional v1.7.14