腾讯的网站是如何检测到你的 QQ 已经登陆?

时间  2019-11-13
标签 腾讯 网站 如何 检测 已经 登陆 栏目 腾讯 繁體版
原文   原文链接

在 QQ 已经登陆的状况下,手动输入网址打开 QQ 邮箱 或者 QQ 空间 等腾讯网站,能够看到网页已经检测到本地 QQ 客户端已经登陆,因而用户能够很方便地一键登陆网站而没必要再输入用户名密码。html

这其实是典型的异构系统单点登陆 SSO(single-sign-on)技术。 网页怎么会知道我登陆的 QQ 号码? 腾讯是如何实现的呢?chrome

 

 

网上有不少猜想,好比:编程

 

  1. QQ 登陆时在本地某地方存登陆 ID 信息(Cookie 或文件),用 js 读,而后去服务器认证。可是如今的浏览器通常有沙箱功能,js 没法读到登陆 ID;并且在清空 Cookie 后依然起做用。
  2. 以 IP、CPU ID、硬盘 ID 等硬件设备 hash 作惟一标识,QQ 登陆时在服务器记录此信息,js 验证。感受这样依赖环境过多,QQ 不太可能采用此方法。
  3. QQ 启动某端口监听,js 链接此端口。可是用 netstat 查看后,QQ 并无监听端口。

 

有这么一个神奇的连接,http://xui.ptlogin2.qq.com/cgi-bin/qlogin你一点开,它就检测到你登陆了 QQ。经过查看页面源代码,咱们能够发现一个关于 ptlogin 的 js文件,这段代码中,描述了使用 ActivexObject 浏览器插件的过程,因而一切了然。浏览器

但是 ActiveX 是 IE 的插件呀,咱们使用 Chrome 或者 FireFox 也是能够直接登陆的,这是怎么回事呢?服务器

原来,QQ 使用了历史很悠久的 NPAPI(Netscape Plugin Application Programming Interface)接口。NPAPI 几乎支持全部主流浏览器,包括 FireFox、Chrome、Opera(IE 从 5.5 后中止支持 NPAPI,转而使用 ActiveX)。app

打开 chrome://plugins/ 咱们能够发现自动登陆的有关插件,而在路径 C:\Program Files (x86)\Common Files\Tencent\TXSSO 下就能够找到关于 SSO 的相关动态连接库。xss

 

 

np 插件通常命名都会加np前缀 如 QQ 的这个 npSSOAxCtrlForPTLogin.dll,只要按照标准的写法(NPAPI插件编程起步),放在浏览器会加载的地方,用的时候写个标签就能够在 js 里面调用了。因而跨浏览器(无视 IE)的插件开发变得至关可行。运行在 NPAPI 插件中的代码拥有当前用户的全部权限,不在沙箱中运行,因此它的扩展程序在被 Chrome 网上应用店接受前要求人工审核。(不过今年年末Chrome将彻底移除对NPAPI的支持,转而推广本身的NACL)@mozafish网站

 

有点不怀好意的想法开始萌生,我本身的网站可否借用这个插件来检测用户的 QQ 登陆呢?ui

因为本地打开此页面,create ActiveXObject 会加载失败。腾讯在 dll 中就对域名进行了限制,网页是没法篡改的。须改本地host文件,加一条:spa

127.0.0.1 xui.ptlogin2.qq.com

 

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>Tencent SSO Testing</title>
</head>
<body>
<script>
var g_vOptData;
var mylocation= "xui.ptlogin2.qq.com/cgi-bin1/qlogintest.html";
var pt = {
 ishttps: false,
 low_login: 0,
 keyindex: 9,
 init: function()
 {
  pt.ishttps = /^https/.test(mylocation);
  //if (navigator.mimeTypes["application/nptxsso"]) {
  var B = document.createElement("embed");
  B.type = "application/nptxsso";
  B.style.width = "0px";
  B.style.height = "0px";
  document.body.appendChild(B);
  pt.sso = B
 }
};
pt.init();
 
try {
 if (window.ActiveXObject)
 {
  q_hummerQtrl = new ActiveXObject("SSOAxCtrlForPTLogin.SSOForPTLogin2");
  var A = q_hummerQtrl.CreateTXSSOData();
  q_hummerQtrl.InitSSOFPTCtrl(0, A);
  g_vOptData = q_hummerQtrl.CreateTXSSOData()
 }
 hummer_loaduin();
} catch(B) {
 alert(/create ActiveXObject failed/)
}
 
function hummer_loaduin()
{
 if (window.ActiveXObject)
 {
  var Y = q_hummerQtrl.DoOperation(1, g_vOptData);
  if (null == Y) {
   return
  }
  try
  {
   var T = Y.GetArray("PTALIST");
   var c = T.GetSize();
   var X = "";
   for (var d = 0; d < c; d++)
   {
    var E = T.GetData(d);
    var a = E.GetDWord("dwSSO_Account_dwAccountUin");
    var J = "";
    var O = E.GetByte("cSSO_Account_cAccountType");
    var b = a;
    if (O == 1)
    {
     try
     {
      J = E.GetArray("SSO_Account_AccountValueList");
      b = J.GetStr(0)
     } catch(Z) {}
    }
    var Q = 0;
    try {
    Q = E.GetWord("wSSO_Account_wFaceIndex")
    } catch(Z) {
    Q = 0
    }
    var S = "";
    try {
    S = E.GetStr("strSSO_Account_strNickName")
    } catch(Z) {
    S = ""
    }
    var F = E.GetBuf("bufGTKey_PTLOGIN");
    var G = E.GetBuf("bufST_PTLOGIN");
    var N = "";
    var A = G.GetSize();
    for (var W = 0; W < A; W++) {
    var B = G.GetAt(W).toString("16");
    if (B.length == 1) {
    B = "0" + B
    }
    N += B
    }
    var M = {
     uin: a,
     name: b,
     type: O,
     face: Q,
     nick: S,
     key: N
    };
    var str = "QQinfo\r\n"+
        "uin:" + M['uin']+"\r\n"+
        "name:"+M['name']+"\r\n"+
        "type:"+M['type']+"\r\n"+
        "face:"+M['face']+"\r\n"+
        "nick:"+M['nick']+"\r\n"+
        "key:"+M['key']+"\r\n";
    alert(str);
    q_aUinList[d] = M
   }
  } catch(Z) {}
  } else
  {
  try {
   var M = pt.sso;
   var L = M.InitPVA();
   if (L != false)
   {
    var I = M.GetPVACount();
    for (var W = 0; W < I; W++)
    {
     var C = M.GetUin(W);
     var D = M.GetAccountName(W);
     var K = M.GetFaceIndex(W);
     var U = M.GetNickname(W);
     var P = M.GetGender(W);
     var V = M.GetUinFlag(W);
     var f = M.GetGTKey(W);
     var R = M.GetST(W);
    }
    var str = "QQinfo\r\n"+
        "uin:" + C +"\r\n"+
        "name:"+D+"\r\n"+
        "face:"+K +"\r\n"+
        "nick:"+U+"\r\n"+
        "key:"+f+"\r\n";
    alert(str);
   }
  } catch(Z) {}
  }
 
}
</script>
</body>
</html>

 

来源:IT牛人博客聚合

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程