随手记录一个爬虫心得

现状：

• APP的请求参数有很多，其中有个token用来校验请求参数有没有被篡改
• 开放的平台接口有WEB、APP、小程序
• WEB和小程序接口不全

操作：

• 为了接口数据的完整性，优先从APP下手
• 最不济就是逆向安卓的apk，所以在禅大师的历史版本的描述中，找寻某个新功能的最老版本，奈何没找到，放弃
• 安卓用豌豆荚旧版本，实际安装来验证是否包含新功能，由于太老的版本，APP会阻止使用，虽然可能也有办法，但也暂时放弃，转换思路，看一下ios平台的旧版本
• ios平台对于老版本管理的松一点（下载旧版本需要越狱或抓包降级）。最终找到一个旧版本，抓包查看接口参数，果然少了很多
• python写个脚本模拟请求，手动去调header和url的干扰参数，确认只要把token的算法拿到就基本上大功告成
• ios的逆向没搞过，想着找个同时期发布的apk，花点时间逆向，应该也能搞定

重点：

• 突然想起来，web端好像也有token参数，如果他们的生成逻辑一样，就不用再搞逆向apk那一套了

• 随便拿个web请求中包含token的请求，去用APP的接口请求，果然，没有再次返回{"status":90400,"msg":"token验证失败","data":null}，而是报了

  一个其它错误。随便修改个参数值，就会又报token验证失败，这样基本上确定两个平台的token生成逻辑是一样的，只要调试一下js就能拿到生成逻辑了