前言
家里亲戚是老师,他们最近在搞培训流动,须要去看完指定的培训视频。于是找到我,让我帮忙做一个自动化培训的程序,心愿通过程序实现登录,批量导入账号主动学习等性能。
指标网站
aHR0cHM6Ly9pcHgueWFueGl1LmNvbS8=
0x1.开始剖析
关上的页面,间接就是显示登录页。
咱们间接随便输个手机号和明码,开始抓登录接口~
https://ipx-api.yanxiu.com/user-hub/security/loginAuthorization: Basic c2FucmVuLXRlYWNoZXItcGM6MjZlZEV0WmlObTJ3NzZwbFhTsrxUserInfo: distinctId=183ea7dcf872ef-060972e1be9a65-26021c51-2073600-183ea7dcf88347X-DT-accessTokenX-DT-clientId: ums-teacher-pcX-DT-Passport初步判断申请头中这五个参数有可能是加密参数。
间接用F12开发工具去搜Authorization
var s = { Authorization: "Basic c2FucmVuLXRlYWNoZXItcGM6MjZlZEV0WmlObTJ3NzZwbFhT", srxUserInfo: i.a.get("srxUserInfo") || "distinctId=" + d()}比拟震惊啊·····Authorization如同是硬编码在前端js中的,这网站前端用的vue。
srxUserInfo 通过剖析,是存在localStorage中的,在登录申请的时候,该参数曾经生成了,只是从localStorage中取出而已,那么它是什么时候存进去的呢?
通过我的剖析,distinctId的生成规定在这,第一次生成会存到localStorage中,后边每次申请就从localStorage中取
var n = function() { for (var e = 1 * new Date, t = 0; e == 1 * new Date; ) t++; return e.toString(16) + t.toString(16)}function generate() { var e = String(screen.height * screen.width); e = e && /\d{5,}/.test(e) ? e.toString(16) : String(31242 * Math.random()).replace(".", "").slice(0, 8); var t = n() + "-" + Math.random().toString(16).replace(".", "") + "-" + function(e) { var t, a, n = navigator.userAgent, i = [], o = 0; function r(e, t) { var a, n = 0; for (a = 0; a < t.length; a++) n |= i[a] << 8 * a; return e ^ n } for (t = 0; t < n.length; t++) a = n.charCodeAt(t), i.unshift(255 & a), i.length >= 4 && (o = r(o, i), i = []); return i.length > 0 && (o = r(o, i)), o.toString(16) }() + "-" + e + "-" + n(); return t || (String(Math.random()) + String(Math.random()) + String(Math.random())).slice(2, 15)}console.log(generate());开始测试登录申请
这样,须要的参数咱们就都筹备齐全了,拿出我的神器ApiPost,如下
胜利申请拿到返回值。
结语
像这类网站的接口协议,根本处于0爱护的状态。解密难度0。
如果有须要js解密或者js加密的,能够分割作者。
联系方式 jsjiami.com 到这里能够找到我。
真 · 结语
其实最初我发现,不须要这两参数也能胜利申请.....