“史上最詳細”的Python模擬登錄新浪微博流程

時間：2023-05-20 16:32:01 | 來源：網(wǎng)站運營

時間：2023-05-20 16:32:01 來源：網(wǎng)站運營

“史上最詳細”的Python模擬登錄新浪微博流程：更新：上個版本利用了一些自用框架PSpider的函數(shù)，更新后的版本只用到了requests庫，并改寫為Class的形式，方便大家運行調(diào)試。

--------------------------------------------------------------------------------------------------------

干貨來啦，如果你想學(xué)習(xí)Python模擬登陸，如果你想知道如何利用抓包工具一步步獲得網(wǎng)站登陸流程，如果你想破解網(wǎng)站登陸加密算法，那么這篇文章絕對對得起你！

標(biāo)題隨便起的，不喜勿噴，但這篇文章確實很詳細的解析了新浪微博登錄流程，包括各種加密算法解析、驗證碼解析、跳轉(zhuǎn)解析等等。另外還有登錄的代碼供參考，代碼在文章最后給出，同時也上傳到了GitHub，大家可以參考一下。

登錄代碼地址：GitHub - xianhu/LearnPython: 以擼代碼的形式學(xué)習(xí)Python。

代碼中用到了爬蟲框架PSpider中的一些函數(shù)，框架見：一個極為簡潔的Python爬蟲框架。

需要學(xué)習(xí)一下爬蟲基礎(chǔ)的，請移步：一個很“水”的Python爬蟲入門代碼文件。

如果你想用Python模擬登陸新浪微博，首先肯定要去百度一些相關(guān)的知識，了解各位前輩們已經(jīng)做得一些工作。這里通過搜索可以知道，新浪微博在登錄時，對用戶名、密碼進行了加密處理，也知道了加密算法（b64encode、rsa等等）。這里先有個大體印象，我會一步步交給大家怎么自己去發(fā)現(xiàn)新浪微博的加密算法，畢竟授人以魚不如授人以漁嘛！

這里用到的工具是Charles，是Mac下的一個抓包工具。Windows下對應(yīng)的是Fiddler。如果你不會用，或者不熟悉，建議先安裝一個，自己動手熟悉一下軟件的用法。

好了，準備工作完成了，廢話不多說，開始干貨！

（1）開啟Charles后，打開新浪微博的登錄頁面，并輸入用戶名、密碼、驗證碼后登錄一遍，這時候會在Charles留下整個登錄的流程，后邊慢慢分析。

（2）分析的第一步，要知道用戶名如何加密。在Charles中搜索“username”。為什么這么搜？你如果是做網(wǎng)站的，估計90%的可能都會把用戶名變量命名為username吧！搜索后看到只有文件loginLayers.js中包含username，該文件的命名也說明跟文件相關(guān)，根據(jù)經(jīng)驗應(yīng)該能判斷出這個文件很重要。

（3）將這個文件的內(nèi)容復(fù)制出來，放到一個文本文件中，搜索username，會找到下邊圖示中的這么幾行代碼，從而得知用戶名的加密方式。用戶名加密方法很簡單，encode之后緊跟一個base64即可。具體用Python怎么寫，自己看代碼。

（4）用戶名加密完了，應(yīng)該要加密密碼了。繼續(xù)在這個文件中搜索password，得到：

這里可以推測出this.login中的參數(shù)b應(yīng)該就是password。查看login函數(shù)，可以得到：


這里調(diào)用了loginByXMLHttpRequest函數(shù)，并傳入?yún)?shù)b，即password。所以我們繼續(xù)搜索loginByXMLHttpRequest，得到：

這里調(diào)用了makeXMLRequestQuery函數(shù)，并傳入?yún)?shù)b，即password。所以我們繼續(xù)搜索makeXMLRequestQuery，得到：

這里調(diào)用了makeRequest函數(shù)，并傳入?yún)?shù)b，即password。所以我們繼續(xù)搜索makeRequest，得到：

這里就可以清晰的看到密碼加密流程。具體Python怎么實現(xiàn)，還是自己看代碼。但是這里有個問題，密碼加密的時候，會有幾個參數(shù)需要傳入，比如nonce、servertime、rsakv等等，這是什么鬼呢？繼續(xù)往下看。

（5）在Charles中搜索servertime，會得到一個prelogin的請求，該請求返回servertime、nonce、pubkey等參數(shù)。這里返回的是一個json串。

查看該請求的request，可以看到他需要加密后的用戶名su。根據(jù)這里的參數(shù)，就可以對密碼進行加密了。這里稍微回想總結(jié)下整個流程：

• 根據(jù)用戶名username得到加密后的用戶名su
• 根據(jù)su得到一個json串，里邊包含加密密碼用到的各種參數(shù)，servertime、nonce等
• 根據(jù)json串和密碼得到加密后的密碼，然后就可以登陸了。

（6）在Charles中可以找到一個login.php請求，根據(jù)經(jīng)驗也可以大體判斷這就是登錄請求，事實證明也確實如此。根據(jù)該請求的request，自己構(gòu)建postdata，并發(fā)送請求即可。

這里需要說明下驗證碼問題。有些賬號登錄需要驗證碼，有些不需要，這和賬號設(shè)置有關(guān)，帶有登錄保護的就需要輸入驗證碼。這里也可以根據(jù)上邊得到的json串中的showpin參數(shù)得知（具體見上邊的圖）。如果需要驗證碼，則只需要找到驗證碼的地址，得到圖片：

將這個圖片保存到本地進行人工打碼，或者接入打碼平臺，都可以獲取驗證碼內(nèi)容。在我的代碼中，我原本封裝了云打碼平臺的接口，直接調(diào)用即可，但為了方便大家測試，我改為人工打碼的形式，具體見代碼：

（7）構(gòu)造postdata，發(fā)送請求，即便是請求成功了，其實還沒登錄成功。因為新浪微博還有一步跳轉(zhuǎn)。是不是很麻煩？別著急，勝利馬上就在眼前了。我們仔細查看Charles后，會發(fā)現(xiàn)在上個請求之后，有下邊一個請求wbsso.login，這就是那個跳轉(zhuǎn)，如下圖。

該跳轉(zhuǎn)請求的請求如何構(gòu)建，大家看代碼即可，這里就不多說了。代碼如下：

代碼中還檢查登錄是否成功，這里也不過多描述。到這為止，新浪微博就算是登錄成功了。

這里還有一個問題沒有說到，就是Cookie問題。本文中一直沒有提到Cookie，是因為Python中的Cookiejar會幫我們自動處理所有的cookie問題。你只需要在模擬登陸之前，首先聲明一個cookiejar和opener即可，具體這兩個東西的用法，大家自行百度。代碼如下：

模擬登陸微博真的很麻煩，也確實需要一定的經(jīng)驗，大家多多練習(xí)，熟練掌握了這個，相信你們在模擬登陸其他網(wǎng)站的時候，也能舉一反三的去破解登錄流程。有什么問題，可以在評論中指出，有時間我會幫大家解答的。

總的代碼如下：

# _*_ coding: utf-8 _*_import reimport rsaimport timeimport jsonimport base64import loggingimport binasciiimport requestsimport urllib.parseclass WeiBoLogin(object): """ class of WeiBoLogin, to login weibo.com """ def __init__(self): """ constructor """ self.user_name = None self.pass_word = None self.user_uniqueid = None self.user_nick = None self.session = requests.Session() self.session.headers.update({"User-Agent": "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"}) self.session.get("http://weibo.com/login.php") return def login(self, user_name, pass_word): """ login weibo.com, return True or False """ self.user_name = user_name self.pass_word = pass_word self.user_uniqueid = None self.user_nick = None # get json data s_user_name = self.get_username() json_data = self.get_json_data(su_value=s_user_name) if not json_data: return False s_pass_word = self.get_password(json_data["servertime"], json_data["nonce"], json_data["pubkey"]) # make post_data post_data = { "entry": "weibo", "gateway": "1", "from": "", "savestate": "7", "userticket": "1", "vsnf": "1", "service": "miniblog", "encoding": "UTF-8", "pwencode": "rsa2", "sr": "1280*800", "prelt": "529", "url": "http://weibo.com/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack", "rsakv": json_data["rsakv"], "servertime": json_data["servertime"], "nonce": json_data["nonce"], "su": s_user_name, "sp": s_pass_word, "returntype": "TEXT", } # get captcha code if json_data["showpin"] == 1: url = "http://login.sina.com.cn/cgi/pin.php?r=%d&s=0&p=%s" % (int(time.time()), json_data["pcid"]) with open("captcha.jpeg", "wb") as file_out: file_out.write(self.session.get(url).content) code = input("請輸入驗證碼:") post_data["pcid"] = json_data["pcid"] post_data["door"] = code # login weibo.com login_url_1 = "http://login.sina.com.cn/sso/login.php?client=ssologin.js(v1.4.18)&_=%d" % int(time.time()) json_data_1 = self.session.post(login_url_1, data=post_data).json() if json_data_1["retcode"] == "0": params = { "callback": "sinaSSOController.callbackLoginStatus", "client": "ssologin.js(v1.4.18)", "ticket": json_data_1["ticket"], "ssosavestate": int(time.time()), "_": int(time.time()*1000), } response = self.session.get("https://passport.weibo.com/wbsso/login", params=params) json_data_2 = json.loads(re.search(r"/((?P<result>.*)/)", response.text).group("result")) if json_data_2["result"] is True: self.user_uniqueid = json_data_2["userinfo"]["uniqueid"] self.user_nick = json_data_2["userinfo"]["displayname"] logging.warning("WeiBoLogin succeed: %s", json_data_2) else: logging.warning("WeiBoLogin failed: %s", json_data_2) else: logging.warning("WeiBoLogin failed: %s", json_data_1) return True if self.user_uniqueid and self.user_nick else False def get_username(self): """ get legal username """ username_quote = urllib.parse.quote_plus(self.user_name) username_base64 = base64.b64encode(username_quote.encode("utf-8")) return username_base64.decode("utf-8") def get_json_data(self, su_value): """ get the value of "servertime", "nonce", "pubkey", "rsakv" and "showpin", etc """ params = { "entry": "weibo", "callback": "sinaSSOController.preloginCallBack", "rsakt": "mod", "checkpin": "1", "client": "ssologin.js(v1.4.18)", "su": su_value, "_": int(time.time()*1000), } try: response = self.session.get("http://login.sina.com.cn/sso/prelogin.php", params=params) json_data = json.loads(re.search(r"/((?P<data>.*)/)", response.text).group("data")) except Exception as excep: json_data = {} logging.error("WeiBoLogin get_json_data error: %s", excep) logging.debug("WeiBoLogin get_json_data: %s", json_data) return json_data def get_password(self, servertime, nonce, pubkey): """ get legal password """ string = (str(servertime) + "/t" + str(nonce) + "/n" + str(self.pass_word)).encode("utf-8") public_key = rsa.PublicKey(int(pubkey, 16), int("10001", 16)) password = rsa.encrypt(string, public_key) password = binascii.b2a_hex(password) return password.decode()if __name__ == "__main__": logging.basicConfig(level=logging.DEBUG, format="%(asctime)s/t%(levelname)s/t%(message)s") weibo = WeiBoLogin() weibo.login("username", "password")=============================================================

作者主頁：笑虎（Python愛好者，關(guān)注爬蟲、數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)可視化等）

作者專欄主頁：擼代碼，學(xué)知識 - 本站專欄

作者GitHub主頁：擼代碼，學(xué)知識 - GitHub

歡迎大家拍磚、提意見。相互交流，共同進步！

==============================================================