拼多多token是什么？如何提取及写入？

什么是TOKEN？

近期几年接触到电商运营，无非离不开2个字，那就是刷单，刚踏入这行才知道，大部分的销量、评价、DSR、热度、指数等等数据前期基本都是靠刷起来的。
那么在电商刷单领域里，都和token离不开，token是什么呢？

TOKEN定义

在API开发中，token一般称作用户的令牌，就犹如你的身份证号一样，当你登陆拼多多，不管是手机登陆，微信，QQ授权，拼多多都会返回一个token（全称accesstoken），以作为你的身份标识。
在html页面通常是在cookie中提交，在api接口通常是在header中提交。

TOKEN的种类

目前据笔者所知，token分3种类型，QQ，微信，手机号。他们的登陆方式各有不同的入口：
手机号TOKEN：
即通过APP或者网页直接使用手机号发送验证码提交登陆，会返回token

QQ登陆：
在手机QQ里直接打开小程序或者拼多多的网址，拼多多会调用QQ的API接口拿到code，并换取TOKEN

微信登陆：
同理，必须使用微信浏览器，拼多多会调用浏览器的内部SDKAPI以获得TOKEN

TOKEN的提取 - 抓包

token提取可以分2大方式：协议提取，抓包提取。
抓包提取相对而言最简单，只需要下载fiddler、charles这2个其中一个抓包工具即可。
以charles为例，打开抓包软件，配置HTTPS抓包后，就能抓取手机或电脑上的所有数据包。
我们手动登陆拼多多（不管是手机、QQ、微信）就能成功获取到拼多多返回的TOKEN数据

我们以微信提取所示，红色方框代表着微信TOKEN，而蓝色部分则是微信的CODE，用来登陆获取到token，这就是为什么会发现，在微信打开网址能够直接进入登陆状态，其实这就是它背后的原理。
（QQ亦是如此）

TOKEN提取 - 接口

另一种方式则是直接抓取数据包对它进行调用，目前主流的是使用QQ的cookie进行登陆，这也是笔者常用的方式之一，当然也可以使用手机号码的方式，由于微信不存在cookie，所以几乎都是只能通过手动登陆并抓包。

TOKEN的权重衡量

笔者在后续发现，通过接口的方式大量提取，会发现TOKEN无法进行正常搜索，领取优惠券等等，这也是在电商领域里大家常说的TOKEN环境不干净，没权重等。
如果从事过逆向工程的技术人员其实就会想到，拼多多是能够获取到我们提取时的浏览器设备信息（如user-agent），以及在抓包我们发现它会产生大量的t.gif数据包，这些都是拼多多的行为记录，以及有anti等算法，笔者通过尝试还原，也最终达到了能够和正常登陆时的效果一致。

TOKEN的写入

笔者发现，有很多刚接触电商，然后也没有编程思维的人，跟着大家脚本去研究TOKEN，发现拿出来了也不会使用，不知道如何登陆。其实登陆方式，如果不会开发，最简单的方式是用之前提到过的抓包软件，charles通过修改数据包实现。

举例：我们首先在网页版正常登陆一个手机号码，输入正确验证码，抓包能够看到它登陆成功返回的token；通过charles的数据包拦截功能，我们可以乱输入一个错误的验证码，把他返回的结果修改成正确的，把token改成我们的即可实现了，这里就不详细陈述，仅做简单的技术探讨。

TOKEN无DSR，热度，指数？

到了后期笔者发现，使用token如果通过协议接口的方式创建支付订单，其达到的效果并不能具备和正常用户一样，即不产生访客，DSR，热度等等数据。

这些笔者在后面都有过研究，其实这也是因为少了很多数据包没有模拟提交所导致，包括TOKEN无法搜索商品等也是因为由于提取不规范，使用不规范，被拼多多定义为风控账号进行了锁定。。

总结

不管任何行业，发现基本只要从事的是互联网相关工作，比如自媒体，电商，游戏代练等事业，几乎都离不开逆向工程方面的技术领域。。。。