Sina微博 SSO登陆过程分析

最新推荐文章于 2018-09-06 01:03:25 发布
置顶 最新推荐文章于 2018-09-06 01:03:25 发布
阅读量2w 收藏 30
点赞数
分类专栏: TECHNOLOGY-技术 WEB-WEB 文章标签: sso iframe javascript ajax web 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaojianpitt/article/details/6440561
版权

Sina SSO登陆过程分析

近日研究了Sina CAS的登陆过程,发现其实sinasso实现了yale-CAS并且添加一丁点新的东西,基本认证过程交互流程仍然未变。其独创的一点是实现了Ajax单点登陆,算是比较牛。实现原理是iframe+ javaScript回调函数。

一,初级SSO

初级的SSO,就是在同一个顶级域名下,通过种入顶级域名的Cookie,来实现统一登陆。例如:

单点登陆地址:sso.xxx.com/login.jsp

应用1 web1.xxx.com/login.jsp

应用2 web2.xxx.com/login.jsp

应用3 web3.xxx.com/login.jsp

登陆流程:

情况一:(用户从未登陆)

1,  用户访问web1.xxx.com/login.jspweb1重定向到sso.xxx.com/login.jsp

2,  用户输入验证,成功。sso.xxx.com种入.xxx.comCookietokenid,重定向到web1.xxx.com/login.jspweb1.xxx.com访问.xxx.comCookietokenid判断出已经登陆,系统登陆完成。

情况二:(用户已经登陆)直接登陆。

二,Sina SSO

Sina实现了跨域名的统一登陆,本质也是基于Cookie的。如果用户禁用Cookie,那么无论如何也是登陆不了的。例如:Sina SSO服务器是login.sina.com.cn/sso/login.php

,微博登陆地址为weibo.com/login.php。通过回调函数和iframe实现了跨一级域名的登陆。

认证过程具体流程:这里只介绍用户从未登陆过。

1,  用户进入weibo.com/login.php

2,  用户输入用户名称。输入完毕后,当用户名输入框焦点失去的时候,页码通过ajax向服务器login.sina.com.cn/sso/prelogin.php发送请求,参数为user(刚刚输入的用户名)。服务返回server time nonce 认证,通过回调函数写入到javascript变量中。

3,  用户输入密码,点击登陆,页面POST 请求(注意是ajax请求,并不是login.php发送的),

login.sina.com.cn/sso/login.php?client=ssologin.js(v1.3.12),请求的发起的页面是weibo.com/login.php中的一个不可见iframe页面,参数为第二步得到的servertime nonce ,已经用户名称和加密的密码。返回种入Cookie  tgtlogin.sina.com.cn下。同时修改iframe地址为weibo.com/ajaxlogin.php?ticket=XXXXXX,注意ticket非常重要,这是用户登陆和服务的凭证。

4,  iframe 访问weibo.com/ajaxlogin.php?ticket=XXXXXX,用户登陆,返回种入cookie.weibo.com下,记录用户登陆信息。

5,  通过js再次访问weibo.com/login.php,因为cookie已经写入,登陆成功,服务器发送302,重定向到用户主页面。Weibo.com/userid

6,  至此,登陆过程完成。

 

重点:交互过程和密码加密算法分析。

 1, 在提交POST请求之前, 需要GET 获取两个参数。
       地址是:http://login.sina.com.cn/sso/login.php?client=ssologin.js(v1.3.18)
       得到的数据中有 "servertime" 和 "nonce" 的值, 是随机的,其他值貌似没什么用。

2, 通过httpfox 观察POST 的数据, 参数较复杂,其中 “su" 是加密后的username, "sp"是加密后的password。"servertime" 和 ”nonce" 是上一步得到的。其他参数是不变的。

    username 经过了BASE64 计算: username = base64.encodestring( urllib.quote(username) )[:-1];
    password 经过了三次SHA1 加密, 且其中加入了 servertime 和 nonce 的值来干扰。
    即: 两次SHA1加密后, 将结果加上 servertime 和 nonce 的值, 再SHA1 算一次。

    将参数组织好, POST请求。

 

卫见见
关注
  • 0
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
最新新浪微博SSO授权认证SDK源码修改,另附API调用demo
07-27
所谓SSO认证,通俗的一点讲就是,自己写的app需要使用新浪或腾讯微进行分享、发表微博等操作。如果用户的手机客户端安装了符合SSO认证的新浪、腾讯等微博客户端版本且已登录,则会自动启动新浪、腾讯等微博客户端...
微博登录过程分析(一)基本过程
Nobody_Wang的博客
03-05 1120
抓包工具:firebug 1. 访问weibo.com/login.php时,与服务器进行一次通信,获得severtime/nonce (防止浏览器只保存了帐号,登录时不输入帐号,不触发blur事件,从而没有get到severtime/nonce的情况) 2. 输入用户名结束,焦点离开触发blur事件,调用AJAX服务器发送请求,获得最新的severtime/nonce 3. 执
新浪微博单点授权(SSO
月清空的博客
03-20 1万+
sso授权,指的是通过一键点击的方式简单方式唤起微博客户端经行的授权的方式,因为操作简单,所以作为很多应用的第三方登录的选择。 当然,你想使用这个功能,首先你得有本地客户端,否则的话,会使用web的授权方式,慢慢的输入你的账户和密码来获取授权。 在编码前,你得为此做些简单的准备工作。         1.下载官方的SDK,在里面有实力和MD5的签名工具。 官方SDK 在里面的签名
新浪微博 (sso package or sign error)
gao_chun
11-21 1万+
新版微博客户端升级功能,无线应用使用sso授权必须填写包名、签名。否则会遇到sso package or sign error的报错,SSO授权暂时只针对iOS及Android端。 如果在使用SSO授权时,仍然发生sso package or sign error的报错,请根据以下方法自行排查: (1)检查应用包名签名信息是否完善 如果你的应用只有一个包名、签名,请在 http://open
新浪微博SSO登陆机制(转载)
weixin_33695082的博客
02-24 729
原文地址: http://www.cnblogs.com/AloneSword/p/3840548.html 最近在使用sina微博时,经常性交替使用 weibo.com 和 t.sina.cm.cn进入我的微博。发现当我在 t.sina.com.cn登录之后,直接切换至weibo.com,这时候在 weibo.com是已经登录的,当我在 weibo.com进行注销之后,再切换至 t.sina....
[推荐]新浪微博如何实现 SSO分析
大树叶 技术专栏
09-06 385
1.新浪微博如何实现 SSO分析:http://www.iteye.com/topic/1039052 2. 淘宝如何跨域获取Cookie分析: http://www.iteye.com/topic/1000776?page=6 3. 京东单点登录实例分析 https://blog.csdn.net/clh604/article/details/20365967...
新浪微博如何实现 SSO
04-09
新浪微博如何实现 SSO
java微博模拟登陆+图片上传微博图床
06-25
使用springboot做基础框架,提供简单页面做图片上传,接口直接模拟微博登陆,上传完成后返回图片保存链接 public String getSinaCookies() { String base64name = Base64Utils.encodeToString(username.getBytes()...
xxl-sso流程分析
03-17
xxl-sso流程分析
sso单点登陆1
08-08
SSO简介SSO一次登录处处穿梭比如校园卡比如新浪微博新浪博客,只要登录一次,就可以不用重复登录SSOSingleSignon,单点登录,保证一个账户在多个系统
Multipart/form-data POST文件上传详解
热门推荐
JonnyWei的专栏
10-09 40万+
Multipart/form-data POST文件上传详解 理论 简单的HTTP POST 大家通过HTTP向服务器发送POST请求提交数据,都是通过form表单提交的,代码如下:                     提交时会向服务器端发出这样的数据
分析腾讯微博登录过程
JonnyWei的专栏
05-02 1万+
一,腾讯网站登陆过程分析   腾讯网站包括qq.com为主域名的网站,包括t.qq.com,www.qq.com以及腾讯数不清的各个子域名,因为腾讯使用的sso登陆,所以登陆流程对于各个子域名都是一样的。下面我就以腾讯微博为例子来介绍一下:   第一步:    当用户在浏览器输入:http://t.qq.com/login.php 的时候,浏览器下载页面,执行js检查用户是否qq登陆,如
HTTP BASIC认证,抢先认证介绍和 HttpClient 4.1.1 实例
JonnyWei的专栏
06-08 1万+
1.HTTP BASIC认证在HTTP,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供以用户名和口令形式的凭证。在发送之前,用户名追加一个冒号然后串接上口令。得出的结果字符串再用Base64算法编码。例如,用户名是Aladdin,口令是open sesame,拼接后的结果是Aladdin:open sesame,然后再用Base64编码,得到QWxhZGRpbjpvc
HTTP1.1 持久连接( Persistent Connections)
JonnyWei的专栏
07-27 8705
8.1持久连接( Persistent Connections)8.1.1目的在提出持久连接之前,每获取一个URL都有创建一个单独的TCP连接,不断的加重HTTP服务器的负担并导致网络的拥塞。使用内联的图片或者相关数据常常使得客户端在很短时间内发送众多的请求。问题分析和原型实现的结果的分析已经有了[26][30]。HTTP/1.1的实现的执行体验和测算都有很好的结果[39]。实现方式也
HTTPS的七个误解
JonnyWei的专栏
03-31 8469
误解七:HTTPS无法缓存 许多人以为,出于安全考虑,浏览器不会在本地保存HTTPS缓存。实际上,只要在HTTP头使用特定命令,HTTPS是可以缓存的。 微软的IE项目经理Eric Lawrence写道: "说来也许令人震惊,只要HTTP头允许这样做,所有版本的IE都缓存HTTPS内容。比如,如果头命令是Cache-Control:max-age=600,那么这个网页就将被IE缓存10分钟
SSO架构与实现
JonnyWei的专栏
04-20 7455
腾讯微博开放平台开发吐槽
JonnyWei的专栏
06-07 5510
腾讯微博开放平台开发吐槽   使用腾讯微博开放平台的api开发有段时间了,对于开发遇到的问题不得不总结一下,前车之鉴,供后继者参考。   关于用户注册 腾讯的东西几乎每一个产品都和QQ绑定,如果使用邮箱注册一个微博账号之后,在你注册成功之后登陆,系统会发送一封私信告诉你,你的这个微博账号绑定的qq号码,问题就出在这里。我邮箱注册了一个账号,过几天我忘记了密码,需要找回,当时我也没有记着
HTTP请求模型
JonnyWei的专栏
07-29 4825
HTTP请求模型 一、连接至Web服务器 一个客户端应用(如Web浏览器)打开到Web服务器的HTTP端口的一个套接字(缺省为80)。 例如:http://www.myweb.com:8080/index.html 在Java,这将等同于代码: Soceet socket=new Socket("www.myweb.com",8
python模拟登陆新浪微博
最新发布
06-09
好的,我可以为您提供一个简单的Python代码示例,用于模拟登陆新浪微博。请注意,这只是一个示例,具体的实现方法可能因为新浪微博的更新而有所不同。 ```python import requests from lxml import etree # 定义登录函数 def login(username, password): # 创建一个Session对象,用于保持登录状态 session = requests.Session() # 访问登录页面,获取一些必要的参数 url = 'https://login.sina.com.cn/signup/signin.php' response = session.get(url) html = etree.HTML(response.text) vk = html.xpath('//input[@name="vk"]/@value')[0] action = html.xpath('//form[@id="SinaLoginform"]/@action')[0] # 构造登录请求 data = { 'username': username, 'password': password, 'vk': vk, 'returntype': 'META', 'encoding': 'UTF-8', 'entry': 'sso', 'gateway': '1', 'from': 'null', 'savestate': '30', 'userticket': '0', 'pagerefer': '', 'wsseretry': 'servertime_error', 'pcid': '', 'door': '', 'appkey': '1', 's': '1', 'vsnf': '1', 'su': '', 'service': 'sso', 'servertime': '', 'nonce': '', 'pwencode': 'rsa2', 'rsakv': '', 'sp': '', 'sr': '', } response = session.post(action, data=data, allow_redirects=False) # 获取重定向链接,访问该链接即可完成登录 location = response.headers.get('Location') session.get(location) return session # 使用示例 if __name__ == '__main__': username = 'your_username' password = 'your_password' session = login(username, password) # 使用session对象访问需要登录后才能访问的页面 response = session.get('https://weibo.com/') print(response.text) ``` 请将 `your_username` 和 `your_password` 替换为您自己的用户名和密码。此外,需要安装 `requests` 和 `lxml` 两个库,可以使用 `pip` 命令进行安装。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值