网站的 js 文件被编码/加密了，请教如何解码/解密

研究了一天，基本已经搞定:)，下面说下思路：

1.苹果手机的 thor 抓包和调试着实不方便，于是在电脑上装 fiddler ，然后苹果手机和电脑在同一局域网，让电脑上的 fiddler 直接抓苹果手机的包，具体教程百度“fiddler ios 抓包”自行查阅；

2.苹果手机上删除小蚁 app ，然后重新下载，此时开启抓包，在小蚁 app 上登录，进入签到页面，再进入任务中心，基本所需的 js 文件和一些链接就都抓到了，删除 app 再重新下载的目的是尽可能完整的抓到所有的包；

3.查看 fiddler 的抓包记录，重点关注 js 文件，发现了 8 个 js 文件（连续的 8 个，排排坐，工整！！！），全部下载，并经过美化 /反混淆后保存在本地，方便分析

4.对 8 个 js 文件全文搜索“hmac”，发现只有 247c36a83845ea02d71b.js 、d1077a3d71f4093bd8d2.js 和 e22a36afc057312c398a.js 这 3 个 js 文件含此关键字，故开始重点分析；

5.结合 vscode 对含有 hmac 关键词的函数中的代码逐条调试后（为啥要用 vscode ，因为我读不懂啊），发现只有 247c36a83845ea02d71b.js 文件中的 hmac 函数是比较清晰，然后发现了该函数下的 Base64 和 HmacSha1 ，百度一下，发现刚好是 cryptojs 内的函数，而且还贴出了 HmacSha1 的加密方法，跟 js 文件中的十分相似，那就顺便借用把原 js 中复杂难懂的变量都替换掉，至此，加密方法已经搞定；

6.加密方法虽已搞定，但密钥 token 和 tokensecret 还没找到，于是到处搜索 token 关键字，最后在 auth 登录链接的响应 body 下发现 token 和 token_secret ，瞬间恍然大悟，原来签到的链接为 get 请求，且请求的 header 里面根本没有 cookie 相关的参数，没有 cookie 之类的参数，服务器怎么判定是你登录还是我登录啊？于是这里的密钥 token 和 tokensecret 就身兼二职顺道充当了一把 cookie 角色

7.hmac 实质是以 token 和 token_secret 作为密钥，以 get 请求中的 x-www-form-urlencoded 中的完整数据作为数据源进行加密，其中 x-www-form-urlencoded 中 timestamp 保证了 hmac 会一直变化，实质也是对 token 的一种很好的保护，另外一方面，这也是一种很好的二次校验，如果你不对 hmac 进行深入分析，随意修改 hmac 或者 x-www-form-urlencoded 中的数据，响应代码就会报错，无法返回正确的 body

这次解密确实有很大的运气成分，后面还要继续保持学习劲头，扎扎实实的学好 js 基本知识（本人目前的 js 知识都是看别人的签到脚本，然后依葫芦画瓢边百度边自己写 js 代码得来的）

最后附上解密函数：

var HmacSha1 = require('crypto-js/hmac-sha1');
var Base64 = require('crypto-js/enc-base64');
ss = {'token':'xxxx','token_secret':'xxxx'};
time = new Date().getTime();
console.log(time);
hh = 'appPlatform=yihome&region=CN&seq=1&timestamp='+time+'&userid=xxxx';
function t(a, b)
{
m = b.token,
n = b.token_secret,
o = Base64.stringify((HmacSha1(a,m+'&'+n)));
c = 'hmac=' + encodeURIComponent(o) + '&' + a;
console.log(c);
return c
}

t(hh,ss);