微信小程序爬虫遇到 token 的问题

This topic created in 2438 days ago, the information mentioned may be changed or developed.

最近在写一个小程序爬虫，但 token 一小时就过期了，希望实现自动获取 token 功能。抓包发现获取 token 的 post 中有下面这些参数:

{
 "code": "061DUBm620Tz8S0Oq5q62GdFm62DUBmh",
 "appid": "wxf8e9886ac9480eba",
 "sign": "c2b542186ec81e639fb638599949cc76",
 "nonceStr": "d52uu1kuwqe22wj6fa3h1eh",
 "stm": 1568651077913
}

加密方式为字符串拼接 md5 加密，字符串拼接函数需要传入三个参数:{"code":"061DUBm620Tz8S0Oq5q62GdFm62DUBmh","appid": "wxf8e9886ac9480eba",}，公钥，上一次的 token ；

用抓到的数据测试过最后加密结果是对的，nonceStr 生成和时间戳都已经解决，appid 可以写死，就是 code 不太清楚是否可以模拟生成，测试发现写死仍然无法返回新的 token，源码里 code 相关代码如下:

default.wxLogin({
   method:
   "post",
   query: {
      code: g.code,
      appid: (0, m.MINI_APP_INFO)().miniAppId
}
});

抓了几个 code 发现首尾有一点点相似

061bXNmv0Yfcti14YUpv0BkGmv0bXNmW
061DUBm620Tz8S0Oq5q62GdFm62DUBmh
071eoBRe2vLbvI0AlOOe2txzRe2eoBR8

请教下各位大大这个 code 是否可破之，感谢！

14 replies • 2021-01-05 15:50:18 +08:00

lhx2008

Sep 17, 2019 via Android

你看一下小程序的登录机制，登录的时候，小程序生成一个和用户有关的唯一码 appid，发给服务器，服务器再拿 appid 和 token 去微信服务器拿一个临时的 code，然后服务器可以考虑做或者不做处理

lhx2008

Sep 17, 2019 via Android

名词我有点忘了，可能有点混乱

guansixu

Sep 17, 2019

没办法伪造，调用的微信小程序的登录 API

silverbooker

Sep 17, 2019

你说的这个 code 是 wx.login() 方法生成的 code 吧。理论上是没办法破的，你找找相关资料试试吧。

参考：

https://developers.weixin.qq.com/miniprogram/dev/api/open-api/login/wx.login.html

https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

Arabot9

Sep 19, 2019

@silverbooker 不破解的话有接口可以访问获取吗

Arabot9

Sep 19, 2019

@guansixu 有专门的接口来获取这个 code 吗

yc97

Sep 30, 2019 via iPhone

需要传入第三个参数第一个 e.data 大佬是如何知道是这个的求解

Arabot9

Oct 21, 2019

@yc97 你弄的也是某搏小程序吗

yc97

Oct 28, 2019 via iPhone

@Arabot9 是的这个登录没办法解决可以用自动化测试工具来获取某监控用的就这个方法

Arabot9

Jan 17, 2020

@yc97 用啥工具搞的我用 mitmdump 证书始终有问题可能安卓版本太高了安全验证加强了

codererrr

Apr 15, 2020

解决了吗

Arabot9

Sep 18, 2020

@codererrr 没有弄了没啥好玩的了

douleL

Jan 5, 2021

请问 nonceStr 和 sign 是什么规则生成的

douleL

Jan 5, 2021

某搏小程序你进展到哪步了吗