python requests 模拟网站登录

目的

最近一直在做接口自动化的工作，有些接口的调用，必须先拥有登录态，所以开始模拟登陆把。

环境

OS:w7

IDE:Pycharm

使用Python 的requests 模块

安装：pip install requests

Requests中文DOC：API说明

过程

模拟登录个人理解：接口层直接操作的模拟登录，本质上与UI层登录是相同的，都是把需要验证的数据，提交给服务器对应的函数作验证。（urls→views→Model→DB），所以我们要做的就是把人工post的数据，使用代码提交。

模拟的前提首先需要找到登录接口,可以在登陆的时候，输入错误的账号密码，找到对应的API。

然后抓包看post了哪些数据，一般post过去的数据dict格式。

可以使用抓包工具查看，用fiddler或者Firefox，Chrome自带的开发者工具（F12），我用的是Chrome。

下图为登陆提交的数据：



分析POST数据

user：登录用户名。

pass：登录密码。

captcha：验证码。可以看到默认值是空(默认值为空的参数，一般在后端函数中是有默认值。)

chkRememberMe：登录的时候，勾选自动登录，True代表下次打开网页自动登录，False 相反。

csrf_token：因为csrf_token每次请求时是变化的，所以需要使用requests的Session方法构造一个session实例 带着之前的csrf_token 进行登录验证（csrf_token是服务器给访问网站的用户一个ID标识）。

referer：告诉服务器是从什么地方过来的，（可以在正常登录的时候，获取该值.）

deviceId：访问时的设备编号（可以在正常登录的时候，获取该值）

CSRF_TOKEN：这个字段，单独拿出来说明。

作用：为了防止CSRF攻击，详细请看：CSRF攻击

获取：

我们可以通过首次访问首页，获取CSRF_TOKEN，然后带着获取的值，访问登录页。

PS(一般token获取，打开首页的时候，服务器返回的一个认证字段，这个token值可能会存在返回的html 中，也可能在cookies或者返回的json中，具体视情况获取)

我们的网站是通过这个URL获取token 值

self.url_open = 'https://passport.beta1.fn/gateway/login'

代码demo

# -*- coding: utf-8 -*-
__Author__ = "xiewm"
__Date__ = '2016/7/27 16:51'

import requests
import json

class loginFN(object):
"""
构造请求数据
"""

def __init__(self):
self.url_open = 'https://passport.beta1.fn/gateway/login'
self.url_login = 'https://passport.beta1.fn/login/clogin'

self.s = requests.Session()

# 加headers 伪造请求头。
self.s.headers = {
'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)Chrome/51.0.2704.103 Safari/537.36',
'X-Requested-With': 'XMLHttpRequest',
}
# 取消安全认证
self.s.verify = False

def get_csrf_token(self):
"""
因为登录时需要先获取csrfToken值，所以先get获取，
然后在下方post数据的时候使用。
:return: csrfToken
"""
page = self.s.get(self.url_open)
csrfToken = page.cookies['CSRF_TOKEN']
return csrfToken

def login_fn(self):
csrfToken = self.get_csrf_token()
form_data = {
'user': 'tester001@163.com',
'pass': 'xie0723',
'captcha': '',
'chkRememberMe': 'true',
'referer': 'aHR0cHM6Ly9ob21lLmJldGExLmZuL21lbWJlci9ob21l',
'CSRF_TOKEN': csrfToken,
'deviceId': '801142e17bf4ecc19cbbb32b22eec213',
}
req = self.s.post(self.url_login, data=form_data)
res = json.loads(req.content)  # 把json 对象转换成python对象
assert res['ret'] == 200  # 开发自定义的一个status,登录成功就返还ret 200
print (req.content)

if __name__ == '__main__':
loginFN().login_fn()

改进的地方

还有很多可以添加的，像如何抓包，如何看post的数据，如果查看requests 报文和response报文等等，网上有很多。

总结

一直想模拟网站登录，在网上查了好多的资料，一直没有成功过。后面就暂时放下了，中间学了很多理论的东西，像《图解HTTP》《HTTP权威指南》，熟悉了requests+json 等。知识是慢慢积累的，不可能一次性就搞明白。