利用refresh的方法获得Authorization,实现爬虫

已于 2023-10-20 14:28:42 修改
阅读量2.3k 收藏 3
点赞数 2
文章标签: 爬虫
于 2023-10-19 15:59:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51143561/article/details/133927231
版权

Intro: 一些废话

大家都知道,有的网站进行post请求的时候需要带上参数,确认登录状况。之前一直碰到的情况是Headers里面需要Cookie参数,同时payload中带上一串加密代码,一般是bs64加密。

最近进行爬虫的时候发现了Authorization这种情况,发起请求时不带Cookie,而是在headers里面带上Authorization参数,json data中是请求参数。以往碰到需要JS加密需要逆向解密的爬虫,我都是急流勇退选择转用selenium了,然而这次发现久不用selenium,它竟然升级了,变得比较复杂。同时也因为Authorization这种授权的方式导致加载Cookie进行登录的方式失效,利用Selenium更需要滑动验证码一连串复杂指令,还是requests更加方便。

分析思路

首先是发现Authorization这个参数可以使用一段时间。这个无需多言,把抓包到的headers参数全部带上,不要偷懒就能运行一段时间。大概15分钟之后,token失效,这时返回的内容为“token expired”。

这时候我在网页端随意点选了一个(注意不是刷新页面!),让动态页面加载更新的东西从而生成新的Authorization,然后我发现抓包界面显示了一个“refresh”的请求,这就是突破口!

多说一句,这个refresh请求需要一些耐心,因为网页端很难自然refresh,所以最好是先写一段代码用原始的有效的Authorization运行,直到它返回token expired,再去网页端点选,创造捕捉refresh的条件。

如图所示就是这个refresh请求的内容,这里终于用到了Cookie

它的返回值为:

{"refresh_token":"...","token":"..."}

经过尝试和分析,可知refresh_token是用于payload发起下一次refresh请求,而token则是用于构造Authorization参数

验证猜想

写了一串代码来验证我的思路对了没:

# 测试refresh参数

import requests
import json
from lxml import etree


def get_token(token_refresh):
    url = 'https://.../token/refresh'
    # headers参数全部用浏览器复制的,不知道这样的爬虫会不会有法律问题,所以我都省略了,请见谅
    headers = {
        'authority': 'passport. ... .com',
        'method': 'POST',
        'path': '/token/refresh',
        'scheme': 'https',
        'Accept': 'application/json',
        'Accept-Encoding': 'gzip, deflate, br',
        'Accept-Language': 'zh-CN,zh;q=0.9',
        'Content-Length': '737',
        'Content-Type': 'application/json',
        'Cookie': '...',
        'Origin': 'https://analytics. ... .com',
        'Referer': 'https://analytics. ... .com/',
        'Sec-Ch-Ua': '...',
        'Sec-Ch-Ua-Mobile': '?0',
        'Sec-Ch-Ua-Platform': 'Windows',
        'Sec-Fetch-Dest': 'empty',
        'Sec-Fetch-Mode': 'cors',
        'Sec-Fetch-Site': 'same-site',
        'User-Agent': '...',
    }
    data = {
        "from": "analytics",
        "client_id": "...",
        "response_type": "TOKEN",
        "flag": "...",
        "refresh_token": token_refresh, }     # 这个是传入的参数
    res = requests.post(url=url, headers=headers, json=data)
    content = etree.HTML(res.content)
    # print(content)
    content_s = etree.tostring(content).decode().replace('\n', '').replace('<html><body><p>', '').replace(
        '</p></body></html>', '').replace('b{', '{').replace(' ', '')
    parse = json.loads(content_s)
    print(content_s)
    token = parse['token']
    token_refresh_forNext = parse['refresh_token']
    print(token)
    print(token_refresh_forNext)
    return token, token_refresh_forNext


if __name__ == "__main__":
    token,token_refresh = get_token('第一个token传入浏览器复制的')
    get_token(token_refresh)

运行成功没有报错,也成功打印了新的token和refresh_token

另外一个惊喜发现就是refresh_token也是之前的有效Authorization中能提取出的,就能解决这个函数传入的第一个参数的来源了。

分析思路 续

后面我写完整代码的时候,发现有时候对refresh发起请求也会报错,错误代码是:{errcode: "30405"}。这次还是依葫芦画瓢在网页端点选一次(是的,浏览器里那个页面我一直没关),这次捕捉到了一个全新的页面:checksession(如图)

可以看到是一个get请求,需要加载json data,但里面不像refresh一样需要refresh_token,response里生成refresh_token和token,这点同refresh页面。小小总结一下就是这个checksession也能用于生成token,而且限制变少了,携带的变量参数只有一个可能会更新的Cookie参数。

问题解决

这样一来,JS逆向解密的过程就被简化为自行请求refresh,得到新生成的token,并构造新的Authorization,实现爬虫了,完美!

保留声明

弱弱地说一句,因为担心逆向爬虫会有legal问题,所以我就不放是哪个网站了,因此有些说不清楚的问题欢迎大家来交流!此文章仅提供思路!

Yae Yang
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
authorization如何获取_如何跟CXK讲解OAuth2.0
weixin_42509796的博客
12-22 1673
如何理解OAuth2.0OAuth2.0的产生主要是为了安全简单理解:启动流程我们现在要通过QQ登录一个网站,但不希望告知QQ用户名以及密码,同意给予部分信息(头像,性别等) https://graph.qq.com/oauth2.0/show?which=Login&display=pc&client_id=1688888&redirect_uri=https%3A%2F...
refresh token获取access token在springboot框架中的实例
magasea
07-23 3688
refresh token获取access token在springboot框架中的实例 springboot 上代码 @Configuration @EnableAuthorizationServer @Slf4j public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter ...
Spring的refresh()方法相关异常解析
08-28
主要介绍了Spring的refresh()方法相关异常解析,具有一定参考价值,需要的朋友可以了解下。
selenium&playwright获取网站Authorization鉴权实现伪装requests请求
最新发布
2301_78843735的博客
05-30 729
本文已实战为主,如果不熟悉selenium或,建议补充相关知识点:cookie、session、request、headers相关概念selenium:get_log() 获取用户权限信息,打开指定浏览器,免登陆,伪造请求头playwright:类方法-Page,Request,Route,Docs-Authentication,Network其中selenium4与selenium3的操作有一些差异,这里不做研究。
node获取响应头Authorization方法
qq_35496421的博客
09-12 6258
node获取响应头Authorization方法 首先申明这个问题不是前端来处理的,而是后端后端后端后端后端后端后端后端 相信大家都碰到过Refused to get unsafe header "Authorization"这个错误。 这是由于w3c规定只有以下这些值能被直接获取,当想获取Authorization时将出错 Accept-Charset Accept-Encoding Conn...
APP 莫名崩溃,开始以为是 Header 中 name 大小写的锅,最后发现原来是容器的错!
程序员小航
10-20 692
前言 部署测试,部署预发布,一切测试就绪,上生产。 发布生产 闪退 What??? 马上回滚 开始排查 后端一模一样的代码,不是 APP 端的问题吧。可 APP 端没有发版啊。 …… 一番排查 原来是 APP 端打包,测试和预发布包 Header 传的都是 Authorization ,生产传的是 authorization 。就是大小写问题,那赶紧改。 公众号:liuzhihangs,记录工作学习中的技术、开发及源码笔记;时不时分享一些生活中的见闻感悟。欢迎大佬来指导! 背景 首页接口只有登录才可.
java 获取Authorization信息
weixin_45873444的博客
01-18 4747
java 获取Authorization信息
PHP 前后端交互 获取AUTHORIZATION认证
日常学习集锦
11-20 2944
修改文件:.htaccess 修改位置:入口文件同级目录 修改内容: Apache服务器下,我们需要开启rewrite_module模块 添加主要代码:HTTP_AUTHORIZATION 是你获取 HTTP:Authorization 的 key 值 及:获取方式 $_SERVER['HTTP_AUTHORIZATION'] # 获取 #Authorization He...
PHP获取AUTHORIZATION认证验证
热门推荐
伊凡
09-28 1万+
做接口认证的时候,我们可能会用到自定义header头Authorization。 我们都知道php的自定义头信息都可以使用$SERVER['HTTP*']来获取,如header('test: wzhtest');获取的时候,我们可以使用$_SERVER['HTTP_TEST']来获取。 这里说明下。Authorization可能是个例外。nginx没问题,但是Apache下可能会出现一个问题。那...
spring-authorization-server 公共客户端方式获取授权码和Token的流程
m13012606980的专栏
02-02 1765
spring-authorization-server 公共客户端 (public clients)方式获取授权码和Token的流程
php获取不到名为Authorization的header头
07-02
解决php获取不到客户端发来的Authorization的header头信息
vue中前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求...
BootstrapTable refresh 方法使用实例简单介绍
02-06
在实际应用中,`refresh` 方法可以结合各种服务器端接口来实现灵活的数据更新。例如,你可以根据用户的搜索条件、筛选条件或者时间范围来动态刷新表格。此外,`refresh` 方法也可以用于处理数据的实时更新,比如从 ...
axios如何利用promise无痛刷新token的实现方法
12-08
在本文中,我们将探讨如何使用`axios`库和Promise来实现无痛刷新`token`的策略,以便在前端应用中确保用户在`token`过期时仍能顺畅地使用服务。这种需求通常出现在用户登录后,后端返回了一个`token`和其有效时间。...
Bootstrap table中toolbar新增条件查询及refresh参数使用方法
08-27
Bootstrap Table 中toolbar新增条件查询及refresh参数使用方法 Bootstrap Table 是一个功能强大且灵活的表格插件,提供了许多实用的功能,例如 toolbar 的自定义查询条件和refresh 参数的使用方法。在实际应用中,...
Authorization获取token,进而获取用户信息(拦截器的使用)
m0_52228992的博客
01-14 995
首先,我大致讲讲是怎么样一个应用场景。我通过JWT生成用户token,ThreadLocal来保存用户信息。我想在除了登录和注册的时候,获取用户信息。下面来讲讲如何使用。拦截器的使用,大致分两步。1.创建一个类实现HandlerInterceptor,定义拦截内容2.创建一个类实现WebMvcConfigurer,添加拦截对象和地址。
爬虫基础(2)
Fergus的博客
06-23 163
盗亦有道之Robots与反爬
authorization如何获取_如何使用Kubernetes实现 CI/CD 全流程实践
weixin_35225189的博客
12-29 316
0. 前 言1)本实践中已经的示例代码及jenkins-agent镜像已经推送归档至github,-->传送门(https://github.com/Kubernetes-Best-Pratice/)2)注意本实践中均为内网数据,你测试时一定要改为自己的环境的有效数据。3) 由于本实践涉及组件较多,若有操作不明确的话,你可以后台留言,我们一起完善。4) 具体操作时若有不清楚...
爬虫cookie自动获取及过期自动更新的实现方法
07-14
实现爬虫自动获取和过期自动更新的cookie,你可以按照以下步骤操作: 1. 使用一个库,比如`requests`来发送HTTP请求。在发送请求时,可以使用`Session`对象来自动处理cookie的保存和管理。 2. 首先,创建一个`Session`对象,并发送一个登录请求来获取初始的cookie。你可以通过在请求头中设置合适的参数,比如用户名和密码,来实现登录。 3. 一旦登录成功并获取到cookie,`Session`对象会自动保存这些cookie,并在后续的请求中自动发送。 4. 为了处理cookie的过期问题,你可以在每次请求之前检查cookie的有效期。如果cookie已过期,你可以实现一个函数来自动重新获取新的cookie。 5. 在重新获取cookie时,你可以通过发送另一个登录请求或者使用其他方式来获取新的cookie。一旦获取到新的cookie,更新`Session`对象中的cookie,并继续后续的请求。 下面是一个示例代码,演示了如何使用`requests`库和`Session`对象来实现自动获取和更新cookie: ```python import requests session = requests.Session() def login(): # 发送登录请求并获取初始cookie login_data = {'username': 'your_username', 'password': 'your_password'} response = session.post('http://example.com/login', data=login_data) response.raise_for_status() def check_cookie_expiry(): # 检查cookie是否过期 if 'expires' in session.cookies: # 判断cookie是否过期的逻辑 return True else: return False def refresh_cookie(): # 获取新的cookie login() def make_request(): # 发送请求前检查cookie是否过期 if check_cookie_expiry(): refresh_cookie() response = session.get('http://example.com/protected_page') response.raise_for_status() # 处理响应 # 登录获取初始cookie login() # 发送请求 make_request() ``` 在上面的示例中,`login()`函数用于发送登录请求并获取初始的cookie。`check_cookie_expiry()`函数用于检查cookie是否过期。`refresh_cookie()`函数用于重新获取新的cookie。`make_request()`函数用于发送请求前检查cookie是否过期,并在需要时刷新cookie。你可以根据自己的需求修改代码,以适应不同的场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值