摘要:模擬登錄新浪微博的核心���,也是與模擬登錄最大的不同���,密碼加密���。已經(jīng)實(shí)現(xiàn)模擬新浪微博登錄的功能�,之后不再更新。
參考資料:
http://www.csuldw.com/2016/11/10/2016-11-10-simulate-sina-login/
http://blog.csdn.net/fly_leopard/article/details/51148904
http://www.tuicool.com/articles/uIJzYff
http://blog.csdn.net/u010029983/article/details/46364113
等
模擬新浪微博登錄是抓取新浪數(shù)據(jù)的基礎(chǔ)�����,網(wǎng)上的參考資料大多介紹的是用Python開發(fā)��,有一篇使用php模擬登錄的資料還是在phpcms中實(shí)現(xiàn)的�,也沒有太深入分析。
PS:網(wǎng)上資料來源比較亂�,不知道phpcms實(shí)現(xiàn)模擬微博登錄的原作是不是csdn的t0mCl0nes,本篇介紹php模擬登錄的核心借鑒的就是這篇文章�����。以下提及這篇文章以phpcms方案指代��。
使用PHP模擬登錄新浪微博和Python還是有些區(qū)別的���,其中也存在一些問題�����,在這里我就簡單分析一下PHP模擬新浪微博登錄的過程和存在的問題�。
項(xiàng)目地址:
https://github.com/daweilang/...
標(biāo)題名“基于laravel框架”,因?yàn)檎麄€(gè)獲取新浪微博數(shù)據(jù)的系統(tǒng)是用的lavarel框架搭建的��,使用了lavarel隊(duì)列���、命令等等工具�。其實(shí)模擬新浪微博登錄這部分完全可以用簡單php程序頁面實(shí)現(xiàn)��,希望我下面的分析能夠幫助感興趣的朋友實(shí)現(xiàn)自己的模擬登錄程序���。
PS:AppHttpControllersAdminAuthorizeController控制器是本文的主程序�,以下提及的代碼都在github該程序中��。
這里所介紹的模擬新浪微博登錄�,具體是指通過新浪通行證模擬登錄。新浪通行證是新浪的統(tǒng)一登錄模式����,新浪網(wǎng)(sina.com.cn)和微博(weibo.com)是兩個(gè)不同的頂級域,正是通過新浪通行證�,微博實(shí)現(xiàn)了跨域登錄。對于跨域登錄了解不多���,不過新浪網(wǎng)使用的這種方式技術(shù)上應(yīng)該是很深入的��。
具體登錄參數(shù)的抓包分析請參考上面和網(wǎng)上的一些文章�,其中固定參數(shù)可以參考我的代碼“config/weibo.php”的curl數(shù)組����。
這里主要對 預(yù)登錄和預(yù)登錄返回的參數(shù) 結(jié)合PHP程序進(jìn)一步說明。
當(dāng)用戶輸入用戶名并且焦點(diǎn)離開輸入框后����,登錄頁面會向 http://login.sina.com.cn/sso/prelogin.php?entry=weibo&callback=sinaSSOController.preloginCallBack&su=%s&rsakt=mod&checkpin=1&client=ssologin.js(v1.4.18)&_=%s 發(fā)送一次GET請求,其中用戶名是經(jīng)過base64_encode加密的���,最后是個(gè)毫秒級的時(shí)間戳�����,其他參數(shù)可以固定�。
該請求返回了一些參數(shù)���,網(wǎng)上資料已經(jīng)介紹了后面主要用到了 "servertime"����、”nonce"和"rsakv" 這三個(gè)參數(shù)��,不過其實(shí) “showpin”和“pcid” 這兩個(gè)參數(shù)也很重要,showpin為1的時(shí)候代表需要填寫驗(yàn)證碼���,而驗(yàn)證碼的生成需要“pcid”這個(gè)參數(shù)����。
phpcms方案中將請求返回的這些參數(shù)儲存到cookie中���,我的代碼是儲存到文件中�,參數(shù)的取得和儲存代碼參見GetWeiboCookie類的getPreUrl()方法��。
PHP模擬登錄新浪微博的核心�,也是與Python模擬登錄最大的不同,密碼加密�����。
網(wǎng)上的文章都已經(jīng)介紹了微博密碼加密原理���,使用RSA2算法�����,“首先創(chuàng)建一個(gè) rsa 公鑰����,公鑰的兩個(gè)參數(shù)都是固定值,第一個(gè)參數(shù)是登錄過程中 prelogin.php 中的 pubkey ���,第二個(gè)參數(shù)是加密的 js 文件中指定的”10001”(這兩個(gè)值需要先從16進(jìn)制轉(zhuǎn)換成10進(jìn)制,把“10001”轉(zhuǎn)成十進(jìn)制為“65537”)��。最后再加入 servertime 和 nonce 進(jìn)行進(jìn)一步加密�。”
新浪通行證的流程是���,在用戶填寫完用戶名和密碼提交后�,請求“https://login.sina.com.cn/js/sso/ssologin.js” 頁面����,這個(gè)js頁面里就是上面的加密算法,使用js將密碼加密���。
這個(gè)流程使用Python模擬的代碼是這樣的:
RSAKey = rsa.PublicKey(rsaPubkey, 65537) #創(chuàng)建公鑰
#根據(jù)js拼接方式構(gòu)造明文
codeStr = str(servertime) + " " + str(nonce) + "
" + str(password)
pwd = rsa.encrypt(codeStr, RSAKey) #使用rsa進(jìn)行加密
短短三行代碼���,只需要安裝rsa包。��。。
百度了好久�,沒有找到php實(shí)現(xiàn)生成rsa公鑰方法。
phpcms方案實(shí)現(xiàn)了一種解決方法���,也就是按照新浪通行證的流程來實(shí)現(xiàn)����,用ssologin的js方法來加密����。phpcms方案對sso加密算法進(jìn)行了一次封裝,csdn博客上有該段js代碼��。我的js水平不高��,完全借鑒了這段代碼�,在此基礎(chǔ)上將加密算法提取到一個(gè)js文件中。
這種做法有個(gè)很大的缺點(diǎn)�,需要一個(gè)多帶帶的頁面來生成加密后的密碼,并且將密碼傳給最后的提交頁面�,也就是說頁面需要多次跳轉(zhuǎn)。
var encrpt = getpass("{$preParam["sp"]}", "{$preParam["servertime"]}", "{$preParam["nonce"]}", "{$preParam["pubkey"]}" );
// document.write(encrpt);
window.location.href="/admin/authorize/browserLogin/?sp="+encrpt;
最后將加密的密碼傳遞給最后的提交頁�,見getRsaPwd()方法。
我是在最終提交頁browserLogin中將之前儲存在文件中的各種參數(shù)提取與加密后的密碼組合,最后post給新浪通行證登錄頁登錄��。
這里還有一點(diǎn)是之前介紹過的�,需要填寫驗(yàn)證碼情況,如果預(yù)登錄返回的showpin參數(shù)為1���,需要獲得驗(yàn)證碼圖片����,填寫驗(yàn)證碼登錄��。驗(yàn)證碼圖片地址是
http://login.sina.com.cn/cgi/pin.php?r={$randInt}&s=0&p={$preParam["pcid"]}
r是隨機(jī)8位數(shù)字�����,p是預(yù)登陸返回的pcid����。如果有驗(yàn)證碼就多了一次手動填寫驗(yàn)證碼的流程����。
具體代碼參考browserLogin()方法。
這種方法與Python相比最大的缺點(diǎn)是不能自動登錄���,也就是后臺登錄���,Python不需要人為觸發(fā)����,有用戶名和密碼后完全可以使用程序模擬登錄�,而php實(shí)現(xiàn)需要人為觸發(fā)登錄。
另外���,如果需要填寫驗(yàn)證碼��,Python也有工具可以識別驗(yàn)證碼���,做到自動打碼,全程自動登錄����,這點(diǎn)php實(shí)現(xiàn)起來也比較困難。
之后的curl登錄沒有什么需要特別說明的���,應(yīng)該是在參數(shù)里面設(shè)置了入口weibo���,所以返回的cookie可以直接使用到微博中���,理論上這種方式可以在新浪全站模擬登錄,不過我并沒有試過其他子站���。新浪只是在密碼核驗(yàn)上比較嚴(yán)格����,對于模擬登錄的限制并不多�。
綜上,雖然使用PHP實(shí)現(xiàn)了模擬新浪微博登錄���,但比之Python還是很不方便的����,畢竟Python做爬蟲的有很多工具��。不過在模擬登錄微博的基礎(chǔ)上獲取微博數(shù)據(jù)過程中����,使用lavarel這種框架實(shí)現(xiàn)了很多腳本功能�����,大大提高了抓取數(shù)據(jù)效率,這也是我使用lavarel開發(fā)這個(gè)小項(xiàng)目的原因��。
https://github.com/daweilang/...
已經(jīng)實(shí)現(xiàn)模擬新浪微博登錄的功能��,之后不再更新����。
后續(xù)的新浪微博數(shù)據(jù)抓取分析,請關(guān)注 https://github.com/daweilang/...
這個(gè)項(xiàng)目還在調(diào)整階段���,還有很多缺陷需要完善��,待功能成熟后��,我也會圍繞項(xiàng)目的設(shè)計(jì)目標(biāo)�,介紹一下實(shí)現(xiàn)方案����。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/22624.html
