关于淘宝自动登陆的尝试——神烦笔记

前几天逗比遇到一个问题，就是抢拍淘宝的商品老是抢不到，就哭着闹着要小编写一个什么淘宝抢拍器。出于兴趣，小编也试着去解决这个问题，基于安全角度的考虑，小编没有去下载所谓的抢拍器，担心软件被植入了什么后门，而是在网上找了一些关于抢拍器的源码来学习。

对于抢注器的第一步，就是要考虑如何登陆。而这个登陆问题，无非就是通过构造报文，在报文里面指定淘宝的登陆首页，然后在后面带上用户名和密码，然后以POST的方式将报文发送出去。

但是，问题来了，如果小编是通过网页进行淘宝账号的登陆，可能只需要简单地输入账号和密码，当然，这里可能是前期就安装好安全证书了，然后就可以轻松地登陆到淘宝上开始败家了。而如果小编是采用了构造报文的方式进行报文的发送来登陆，那么，我觉得理论上是行得通的，因为从浏览器的实质角度来说，在背后的底层也是这么构造的，而问题就在于目前还不清楚在构造的报文里面小编需要携带什么信息，使得淘宝的服务器能够识别小编的登陆请求，并返回正确的信息。

而这里需要携带的信息中就有一个比较让人头疼的问题，就是验证码问题，通过简单的测试，如果只是简单进行账号和密码的发送，返回的网页内容会要求小编进行验证码的输入，这点上与小编的报文请求登陆是相违背的，因为小编在登陆的时候并不知道所谓的验证码到底会是什么。而针对这个问题，网上有人提到了，可以针对让cookie强制过期来绕开验证码，但是小编还没能够理解应该怎么做，原理上可能大概了解了，但是具体的操作可能还有距离，这里由于时间受限，小编就先留着这个问题吧。

小编觉得目前如果能够绕过验证码这个问题，那么抢注器的登陆问题也应该可以迎刃而解了。

其次，小编在搜索过程中发现，淘宝是开放了API的，这些API支持java、php、.net，但是，这些API相信他们是严格管理和控制的，而小编也没有找到关于自动登陆的API。同时，小编想到，除了网页登陆淘宝以外，还有淘宝客户端登陆，而这个淘宝客户端登陆就和小编好奇的抢注器的第一个登陆问题是一样的，所以从技术上来说，要实现抢注器是没有问题的，关键就在于小编需要发送什么报文，携带什么信息罢了。

为了解决这个问题，小编觉得可从如下几个方面着手，其一，可以通过wireshark来抓取浏览器在登陆淘宝是和淘宝服务器的交互过程，来深入理解整个过程，以及每一个信息的功能。其二，从可以在android手机上也安装一个抓包软件来观察整个交互过程。

在了解了整个交互过程之后，相信对于这个问题的解决会有很好的帮助，但是由于小编时间比较少，就先放着，以后再挑个时间试试。