基于JWT的模拟登录爬取实战

JWT(JSON Web Token)主要由三部分组成:

  1. Header:包含了Token的类型(“typ”)和签名算法(“alg”)信息。通常情况下,这个部分会指定为{"alg": "HS256", "typ": "JWT"},表示使用HMAC SHA-256算法进行签名。
  2. Payload:包含了要传输的信息,也称为声明(claims)。其中可以包含注册声明(registered claims)、公共声明(public claims)和私有声明(private claims),例如用户ID、姓名等信息。一些注册声明包括iss(issuer)、sub(subject)、aud(audience)、exp(expiration time)、nbf(not before time)等。
  3. Signature:对Header和Payload进行签名后生成的结果,以确保JWT的完整性和真实性。签名通常使用Base64编码的Header和Payload,并结合一个密钥使用指定的算法进行计算得到。

JWT的三个部分都是使用Base64 URL编码的,并且它们之间通过句点(.)来分隔。最终生成的JWT字符串就是由这三部分组成的。.JWT的格式是明文的,因此不应将敏感数据直接存储在JWT中,特别是不要在Payload中存储敏感信息,因为Payload中的内容可以被Base64解码。敏感信息应该通过加密或其他安全手段进行处理。

  1. 案例介绍

案例网站是https://login3.scrape.center/,访问这个网站,同样会打开一个登录页面,如图所示。

Python爬虫——基于JWT的模拟登录爬取实战-LMLPHP

用户名和密码都是admin,输入后点击登录按钮会跳转到首页,证明登录成功。

  1. 模拟登录

基于JWT的网站通常采用的是前后端分离式,前后端的数据传输依赖于Ajax,登录验证依赖于JWT这个本身就是token的值,如果JWT经验证是有效的,服务器就会返回相应的数据。打开开发者工具,执行登录操作,看一下登录过程中产生的请求,如图所示:

Python爬虫——基于JWT的模拟登录爬取实战-LMLPHP

Python爬虫——基于JWT的模拟登录爬取实战-LMLPHP

从上图中可以看出,登录时的请求URL为https://login3.scrape.center/api/login,是通过Ajax请求的。请求体是JSON格式的数据,而不是表单数据,返回状态码为200.然后看一下返回结果是怎样的,如下图所示:

Python爬虫——基于JWT的模拟登录爬取实战-LMLPHP

从上图中看出,返回结果也是JSON格式的数据,包含一个token字段,其内容为:

 "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNzEyMTkyMDY1LCJlbWFpbCI6ImFkbWluQGFkbWluLmNvbSIsIm9yaWdfaWF0IjoxNzEyMTQ4ODY1fQ.-SIR4TI_nqkyfKoV7OudZeMnIGz09D4CxS6H8ANOAJM"

由“."把整个字符串分为三段。有了这个JWT,怎么获取后续的数据呢?翻下一页,看看后续的请求内容,如下图所示:

Python爬虫——基于JWT的模拟登录爬取实战-LMLPHP

从上图中可看出,在后续发出的用于获取数据的Ajax请求中,请求头里多了一个Authorization字段,其内容为jwt加上刚才图中token字段的内容,返回结果也是JSON格式数据,如图所示:

Python爬虫——基于JWT的模拟登录爬取实战-LMLPHP

可以看出,返回结果正是网站首页显示的内容,这也是我们应该模拟爬取的内容。那么现在,模拟登录的整个思路就有了,其实就是如下两个步骤:

  • 模拟登录请求,带上必要的登录信息,获取返回的JWT;
  • 之后发送请求时,在请求头里面加上Authorization字段,值就是JWT对应的内容。

实现代码如下:

import requests
from urllib.parse import urljoin

BASE_URL = '<https://login3.scrape.center/>'
LOGIN_URL = urljoin(BASE_URL, '/api/login')
INDEX_URL = urljoin(BASE_URL, '/api/book')
USERNAME = 'admin'
PASSWORD = 'admin'

response_login = requests.post(LOGIN_URL, json={
    'username': USERNAME,
    'password': PASSWORD
})

data = response_login.json()
print('Response JSON', data)
jwt = data.get('token')
print('JWT', jwt)

headers = {
    'Authorization': f'jwt {jwt}'
}
response_index = requests.get(INDEX_URL, params={'limit': 18, 'offset': 0}, headers=headers)
print('Response Status', response_index.status_code)
print('Response URL', response_index.url)
print('Response Data', response_index.json())

这里我们先定义了登录接口和获取数据的接口,分别是LOGIN_URL和INDEX_URL,接着调用requests的post方法进行了模拟登录。由于这里提交的数据是JSON格式,所以使用json参数来传递。接着获取并打印出返回结果中包含的JWT。然后构造请求头,设置Authorization字段并传入刚获取的JWT,这样就能成功获取数据了。

运行结果如下:

Response JSON {'token': 'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNzEyMTk0MTMxLCJlbWFpbCI6ImFkbWluQGFkbWluLmNvbSIsIm9yaWdfaWF0IjoxNzEyMTUwOTMxfQ.jJNKrqLFxjmedcf333nO9E1XFNXpL-Ab8dF6zP_JUOQ'}
JWT eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNzEyMTk0MTMxLCJlbWFpbCI6ImFkbWluQGFkbWluLmNvbSIsIm9yaWdfaWF0IjoxNzEyMTUwOTMxfQ.jJNKrqLFxjmedcf333nO9E1XFNXpL-Ab8dF6zP_JUOQ
Response Status 200
Response URL <https://login3.scrape.center/api/book/?limit=18&offset=0>
Response Data {'count': 9200, 'results': [{'id': '34473697', 'name': 'R数据科学实战:工具详解与案例分析','authors': ['刘健', '邬书豪'], 'cover': None, 'score': '8.9'}, {'id': '34790654', 'name': 'Greenplum:从大数据战略到实现', 'authors': ['冯雷', '姚延栋','高小明', '杨瑜'], 'cover': None, 'score': '8.9'},{'id': '34893933', 'name': '江湖外史(2019精装版)','authors': ['王怜花'], 'cover': '<https://cdn.scrape.center/book/s33523792.jpg>', 'score': '8.3'}, {'id': '17707842', 'name': None, 'authors': None, 'cover': None, 'score': None}, {'id': '27080632', 'name': 'Streaming Systems', 'authors': ['Tyler Akidau', 'Slava Chernyak', 'Reuven Lax'], 'cover': None, 'score': ' 8.9 '}, {'id': '1046276', 'name': '温暖和百感交集的旅程', 'authors': ['\\n            余华', '余华作品系列'], 'cover': '<https://cdn.scrape.center/book/s1120387.jpg>', 'score': '8.1'}, {'id': '25862578', 'name': '解忧杂货店', 'authors': ['\\n                [日]\\n            东野圭吾', '新经典文化', '新经典文库·东野圭吾作品'], 'cover': '<https://cdn.scrape.center/book/s27264181.jpg>', 'score': '8.5'}, {'id': '10554308', 'name': '白夜行', 'authors': ['[日] 东野圭吾'], 'cover': '<https://cdn.scrape.center/book/s24514468.jpg>', 'score': '9.2'}, {'id': '4913064', 'name': '活着', 'authors': ['余华'], 'cover': '<https://cdn.scrape.center/book/s29053580.jpg>', 'score': '9.4'}, {'id': '6015822', 'name': '在细雨中呼喊', 'authors': ['\\n            余华', '余华作品(2008版)'], 'cover': '<https://cdn.scrape.center/book/s6309302.jpg>', 'score': '8.5'}, {'id': '10594787', 'name': '霍乱时期的爱情', 'authors': ['[哥伦比亚] 加西亚·马尔克斯'], 'cover': '<https://cdn.scrape.center/book/s11284102.jpg>', 'score': '9.0'}, {'id': '27064488', 'name': '活着', 'authors': ['余华'], 'cover': '<https://cdn.scrape.center/book/s29652928.jpg>', 'score': '9.4'}, {'id': '1974038', 'name': '南腔北调集', 'authors': ['鲁迅'], 'cover': '<https://cdn.scrape.center/book/s2126995.jpg>', 'score': '8.6'}, {'id': '1491325', 'name': '皮皮鲁和梦中人', 'authors': ['\\n            郑渊洁', '皮皮鲁总动员'], 'cover': '<https://cdn.scrape.center/book/s26739368.jpg>', 'score': '8.7'}, {'id': '6082808', 'name': '百年孤独', 'authors': ['\\n                [哥伦比亚]\\n            加西亚·马尔克斯', '新经典文化', '\\n            范晔', '新经典文库:加西亚·马尔克斯作品'], 'cover': '<https://cdn.scrape.center/book/s6384944.jpg>', 'score': '9.2'}, {'id': '34672176', 'name': '呼吸', 'authors': ['[美] 特德·姜'], 'cover': '<https://cdn.scrape.center/book/s33519539.jpg>', 'score': '8.6'}, {'id': '34434309', 'name': '82年生的金智英', 'authors': ['[韩]赵南柱'], 'cover': '<https://cdn.scrape.center/book/s33463759.jpg>', 'score': '7.9'}, {'id': '1200840', 'name': '平凡的世界(全三部)', 'authors': ['\\n            路遥', '茅盾文学奖获奖作品全集'], 'cover': '<https://cdn.scrape.center/book/s1144911.jpg>', 'score': '9.0'}]}

模拟登录成功!

04-09 00:12