php web请求 过程,Web QQ 的请求交互过程

于 2021-03-27 03:47:31 发布
阅读量503 收藏 1
点赞数
文章标签: php web请求 过程

获取安全参数

发送http GET请求:

https://ui.ptlogin2.qq.com/cgi-bin/login?daid=164&target=self&style=5&mibao_css=m_webqq&appid=1003903&enable_qlogin=0&no_verifyimg=1&s_url=http%3A%2F%2Fweb2.qq.com%2Floginproxy.html&f_url=loginerroralert&strong_login=1&login_state=10&t=20130830001

在响应的HTML中通过正则表达式  /var g_login_sig=encodeURIComponent\(“(.+?)”\);/)获取到安全参数sign.

在上面的URL中,有个参数要注意 appid=1003903这个参数在下面的步骤中经常遇到.

处理验证码

首先检验是否需要输入验证码

发送HTTP GET请求

”https://ssl.ptlogin2.qq.com/check?uin={0}&appid={1}&js_ver=10038&js_type=0&login_sig={2}&u1=http%3A%2F%2Fweb2.qq.com%2Floginproxy.html&r=0.5331138293443659″.format(QQ, APPID, sign);

上面的请求中,参数QQ指要登录的QQ号码,APPID始终为1003903,sign是上步中获取到的安全参数.

响应类似于下面的格式:

pt_checkVC('0', '!B55', '\x00\x00\x00\x00\xa6\xce\xef\xfe')

如果第一个数字为0,则表示第二个参数做为验证码;如果为1,则表示要通过图片输入验证码,验证码图片的请求如下:

发送https GET请求

“https://ssl.captcha.qq.com/getimage?aid={0}&r={1}&uin={2}”.format(APPID, Math.random(), QQ)

获取图片后可以得到验证码.

第一次登录

发送https GET请求:

‘https://ssl.ptlogin2.qq.com/login?u={0}&p={1}&verifycode={2}&webqq_type=10&remember_uin=1&login2qq=1&aid={3}&u1={4}&h=1&ptredirect=0&ptlang=2052&daid=164&from_ui=1&pttype=1&dumy=&fp=loginerroralert&action=1-41-15424&mibao_css=m_webqq&t=1&g=1&js_type=0&js_ver=10038&login_sig={5}’.format(QQ, p, vc, APPID, “http%3A%2F%2Fweb.qq.com%2Floginproxy.html%3Flogin2qq%3D1%26webqq_type%3D10″, sign);

参数QQ指QQ号,p指加密后的密码,vc是验证码.

该请求必须设置Refer为:’https://ui.ptlogin2.qq.com/cgi-bin/login?daid=164′.

如果登录成功,会返回ptuiCB('0',....),从返回的cookie中取出ptwebqq.

密码的加密算法在js中,地址是:https://ui.ptlogin2.qq.com/js/10043/comm.js?ptui_identifier=000E012E3A89FB8098A4F8D0E9B21E4FF2947BF9AD24272D7C18A9AC29

加密算法的大致如下:

function getEncPass(q, p, v){

var I = hexchar2bin(md5(p));

var H = md5(I + hexchar2bin(pad(q.toString(16),16)));

return md5(H + v.toUpperCase());

}

其中,q为Q号,p为密码,v是验证码.

这步完了以后只是登录了网站,采用QQ单点认证机制的网站都可以通过的原理登录.

登录成功后返回的字符串中有一个url,以HTTP GET请求方式发送该请求,在响应中会返回两个重要的Cookie:p_skey,pt4_token

第二次登录

发送http POST请求:

http://d.web2.qq.com/channel/login2′

请求的headers必须设置content-type为application/x-www-form-urlencoded; charset=UTF-8, referer 为http://d.web2.qq.com/proxy.html?v=20110331002&callback=2.同时把上个请求的cookie也发送回去.

该请求的post参数有三个’{“status”:”online”,”ptwebqq”:”{0}”,”passwd_sig”:”",”clientid”:”{1}”,”psessionid”:null}’.format(PTWebQQ, ClientID);

请求会返回一个JSON格式的字符串,属性retcode为0则表示登录成功.

{"retcode":0,

"result":

{

"uin":10897944,"cip":1959559061,"index":1075,"port":40036,"status":"online",

"vfwebqq":"963856c05954b2f1a0b1f4efff16cc605ce3a1b84792ac678dee4b919c1a",

"psessionid":"c53856c05954b2f1a0b1f4efff16cc605ce3a1b84792ac678dee4b919c1a","user_state":0,"f":0

}

}

登录成功后,将上面JSON中的vfwebqq和psessionid取出来,供下面的请求使用.

获取好友列表

发送HTTP POST请求

http://s.web2.qq.com/api/get_user_friends2

POST参数为:

r {“h”:”hello”,”hash”:”1FD22A64″,”vfwebqq”:”2445fac910fd4f2e1c01a5fcab36d13a024ccb75abed5360dbf6393c58670cb896bb578e86d3d9ee”}

请求headers需要设置cookie,cookie必须有三个值p_uin, p_skey, pt4_token, ptwebqq.

p_uin为字母o+QQ号的10位形式(不足10位前面补零),如o1624240747

序列化以后为’r=%7B%22h%22%3A%22hello%22%2C%22hash%22%3A%221FD22A64%22%2C%22vfwebqq%22%3A%222445fac910fd4f2e1c01a5fcab36d13a024ccb75abed5360dbf6393c58670cb896bb578e86d3d9ee%22%7D’;

hash通过js算出来的一个值,该算法经常会变,这儿就不列出来了.

请求成功后返回好友列表.

接收好友消息

Web QQ通过不断发送poll2轮询获取好友消息

发送HTTP POST请求:

http://d.web2.qq.com/channel/poll2

POST参数

{r:’{“clientid”:”{0}”,”psessionid”:”{1}”,”key”:0,”ids”:[]}’.format(ClientID, PSessionID),clientid:ClientID, psessionid:PSessionID}

clientid为随机生成的客户端ID, 在Web QQ 所有过程中应该保持一致.

请求headers必须设置

headers : {‘content-length’:post_data.length,’content-type’:'application/x-www-form-urlencoded; charset=UTF-8′,referer : ‘http://d.web2.qq.com/proxy.html?v=20110331002&callback=1&id=3′},

cookie不需要

请求返回一个JSON字符串

{"retcode":0,"result":[{"poll_type":"buddies_status_change","value":{"uin":3983012188,"status":"online","client_type":1}}]}

retcode为0表示获取成功.

poll_type这儿列举几种可能的值:

message : 正常的消息

kick_message : 被踢下线

buddies_status_change : 好友在线状态改变

input_notify : 正在输入

tips : 提示信息

各种消息的构造就不说了.

给好友发送消息

发送HTTP POST请求

http://d.web2.qq.com/channel/send_buddy_msg2

post参数为

{

r : r,

clientid : ClientID,

psessionid : PSessionID

})

r为一个字符串,形式如:

‘{“to”:’ + uin +’,”face”:579,”content”:”[\\"' + result + '\\\\n\\",[\\"font\\",{\\"name\\":\\"微软雅黑\\",\\"size\\":\\"10\\",\\"style\\":[0,0,0],\\”color\\”:\\”000000\\”}]]”,”msg_id”:33470003,”clientid”:”‘+ClientID+’”,”psessionid”:”‘+PSessionID+’”}’

其中uin 指好友的临时号码,获取好友列表的时候可以取的到.

请求的headers必须设置referer为’http://d.web2.qq.com/proxy.html?v=20110331002&callback=1&id=2′,不需要设置cookie

逆光纪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
这种玩法闻所未闻,利用python编程自定义QQ的在线状态
zihong522的博客
08-19 1549
使用 安装python3环境 安装requests库pip install requests 手机QQ打开网址 登录后点击最上面的“设备信息”,记住最后一项“msfImei”的值,填入代码的sIMei那里(可以先截屏然后用QQ的文字识别) 私信小编01即可获取大量python学习资源 修改自己想要的机型 运行代码,手机QQ扫描生成的QRCode.png并登录 查看效果(电脑端登录会覆盖好友看到的在线状态,但是只要电脑端退出并且手机QQ在线就会显示自定义机型) 效果 QQ首页效果 好友视
QQ空间扫码登录协议 Java
时光途径
02-16 1793
// QzoneInterface package com.hg.QzoneInterafce; import com.alibaba.fastjson.JSONArray; import com.alibaba.fastjson.JSONObject; import com.hg.DataBean.QQCookieBean; import com.hg.DataBean.QQProfileBean; import com.hg.DataBean.QQRequestBean; import com.hg.
Web QQ请求交互过程
weixin_34066347的博客
01-09 313
为什么80%的码农都做不了架构师?>>> ...
python接口自动化4-常用取token值方法
有话好好说vx:GoGsxl
11-23 3962
前言 在接口测试中我们经常是需要一个登陆token,或者获取其他用到的参数来关联下一个接口用到的参数。这里介绍一些本人常用的方法。 一、简介 不过在哪里我们也是能实现自动化api测试的,我们都知道token一般都会在这几个地方: 1.返回参数的token; 2.返回头部信息中; 3.上一个页面中; 二、取 token 常用方法 1.在返回参数中,如json: R_json = { ...
基于token的持久化登录讲解及其实现
AKGWSB 's blog
07-07 3118
目录前言session的缺点token简介token两个性质token简单实现思路分发token通过token验证身份代码实现登录处理程序loginRecv.php登录验证页面loginSuccessPage.php注销程序演示 前言 上回我们讲到【session+cookie简单讲解以及持久化登录实现】,我们通过在服务器端保存session,客户端保存cookie的方式,跳过繁琐的登录验证,快速验证用户是否登录,以及用户的身份信息。今天来学习另一种思路。 session的缺点 观察上一篇文章中的思路,我们
zonepk0.99.zip_WEB开发_PHP_
08-11
通过学习和研究这个开源代码,开发者可以深入理解PHP语法、函数调用、数据库交互以及Web应用程序的架构设计。 这个程序包含以下文件: 1. **favicon.ico**:这是网站的图标,通常显示在浏览器的地址栏或书签中,...
phpweb网站源码
03-25
PHPWeb网站源码详解】 PHPWeb是一种基于PHP语言开发的网站框架,广泛应用于构建企业级的Web应用程序,尤其在重工机械类型的网站中表现出色。它以其简洁的代码结构、良好的扩展性和易用性,成为了许多新手开发者...
PHP和MySQL Web开发第4版pdf以及源码
10-13
php和mysql web开发(原书第4版)》:开发人员专业技术丛书。 目录 读者反馈 译者序 前言 作者简介 第一篇 使用PHP 第1章 PHP快速入门教程 1.1 开始之前:了解PHP 1.2 创建一个示例应用:Bob汽车零部件商店 ...
PHP教师成绩查询系统 WEB前端加ANDROID界面.zip
09-19
总的来说,"PHP教师成绩查询系统"是一个整合了Web技术和移动端应用的综合实践项目,它锻炼了开发者在数据库管理、前后端交互、用户界面设计等方面的能力。通过这个系统,不仅可以提高教学管理效率,也为学习者提供了...
qq第三方登陆web
07-22
QQ第三方登录在Web应用中的实现是...总的来说,"qq第三方登陆web版"项目涵盖了Web开发中的用户认证、OAuth2.0授权协议的使用、前后端交互以及安全策略等多个重要知识点,是一个典型的Web应用集成第三方登录的实践案例。
关于token和refresh token
weixin_41282397的博客
08-21 1万+
0x01. refresh token 的意义 传统的认证方式一般采用cookie/session来实现,这是我们的出发点。 1.为什么选用token而不选用cookie/session? 本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由sessi...
如何使用postman带Token测试接口?
热门推荐
张超博客
03-06 14万+
首先打开postman、是这样的界面我们的需求是这样的、实现登录之后返回token、然后请求其他接口时在header头中带上token信息、OK、接下来我们这样操作:现在登录没有操作token、只是接口给我们返回了token值、我们需要把这个token放到一个全局变量、以后每次操作的时候、带上token即可、新建一个全局变量:ok、关闭之后、接着测试接口var data = JSON.parse(...
token登录参数关联python处理
流浪的python(QQ796245415)的博客
01-08 1161
pt1:方法一简单介绍思路吧。由于toten这个机制具有登录后再次登录变化的问题;解决方法就是要么直接想办法在第一次登录后直接保存下来,直接读取 pt2:方法二直接去爬取登录后页面,用到正则re模块; 先介绍方法1: 先登录你可以在network f12 下或者抓包看到登录后返回的token;不多说了比较简单 # coding:utf-8 import requests import os ...
QQ空间g_tk算法的JS脚本的获取和分析
gsls200808的专栏
09-04 8125
首先我们需要获取g_tk是如何计算的,由于Firefox自带的控制台功能不够用, 这里用Firefox+Firebug来做,其它浏览器应该也有对于的插件 Firebug分析 F12打开Firebug控制台,刷新QQ空间登录后的界面,然后点击“脚本” 下面我们需要在index.js中查找g_tk 先点击所有旁边的xxx.js旁的下三角 输入index.js 选择viewer2的那
cookie登陆qq空间的两种方式
mini_panda的博客
04-09 2万+
标题: qq空间cookie登陆的两种方式 requests.get(url,headers) 其中cookie在headers头文件中,每次请求都要带上headers s=request.session() s.cookies[‘xxxxx’] = “cookie的值”,每次请求不用再带上headers,直接get就好 1、需求分析: 登陆qq空间实现个人或者好友的说说列...
Token中的信息
qinqin772的博客
08-11 6880
Token中有哪些信息呢?这我们可以从一个api中得到, GetTokenInformation                       https://msdn.microsoft.com/en-us/library/windows/desktop/aa446671(v=vs.85).aspx 想要获取的信息类别 TOKEN_INFORMATION_CLASS t
介绍一下Token?
ding_GC的博客
03-28 875
Token在安全中应用广泛,如防止表单提交,防止有人伪造客户端请求。在实际的开发中,我们已经不需要在写Token,可以直接使用已经封装好的类就可以了。但是,我们需要了解这其中的原理,那我就简单的聊一下这方面。     什么是Token? Token可以理解为令牌,服务器通过验证Token,来判断你是否有操作的权限。Token的重要特性是有效性,一般Token只是在一定时间内有效。超出时间就限制其操...
webQQ协议——模拟登录
Sen的专栏
03-08 7855
用法:传入QQ, 密码, 再调用login函数就行了。。 登录成功后会设置psessionid, ptwebqq, clientid, vfwebqq(这些值在后面的各种操作中会用到)并返回self.opener 如果登录失败则返回None; 当然了。。这里只是登录而已。。。要保持在线还要有其他的操作。。。(见下一篇博文) pswEncrypt.py  在 http://blog.csdn
web安全:QQ号快速登录漏洞及被盗原理
词语大杂烩
09-06 1万+
为什么你什么都没干,但QQ空间中却发了很多小广告?也许你的QQ账号已经被盗。本文将讲解一个QQ的快速登录的漏洞。 我前阵子在论坛上看到一个QQ的快速登录的漏洞,觉得非常不错,所以把部分原文给转到园子来。 而利用这个漏洞最终可以实现,只要你点击一个页面或运行过一个程序,那么我就可以拥有你的登录权限。可以直接进你邮箱,进你微云,进你QQ空间等....   看懂本篇需要一点点we
理解Web程序原理:从PHP自学开始
比如,我们熟悉的聊天软件QQ就是C/S架构的一个例子,但大多数现代Web应用,如网页浏览、在线购物等,都采用B/S架构。这种模式的优势在于,用户只需安装浏览器,无需在每台设备上安装特定的客户端程序,大大简化了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值