在 QQ 已经登录的情况下,手动输入网址打开 QQ 邮箱 或者 QQ 空间 等腾讯网站,可以看到网页已经检测到本地 QQ 客户端已经登录,于是用户可以很方便地一键登录网站而不必再输入用户名密码。

这实际上是典型的异构系统单点登录 SSO(single-sign-on)技术。 网页怎么会知道我登录的 QQ 号码? 腾讯是如何实现的呢?

网上有很多猜测,比如:

  1. QQ 登录时在本地某地方存登录 ID 信息(Cookie 或文件),用 js 读,然后去服务器认证。但是现在的浏览器一般有沙箱功能,js 无法读到登录 ID;而且在清空 Cookie 后依然起作用。
  2. 以 IP、CPU ID、硬盘 ID 等硬件设备 hash 做唯一标识,QQ 登录时在服务器记录此信息,js 验证。感觉这样依赖环境过多,QQ 不太可能采用此方法。
  3. QQ 启动某端口监听,js 连接此端口。但是用 netstat 查看后,QQ 并没有监听端口。

有这么一个神奇的链接,http://xui.ptlogin2.qq.com/cgi-bin/qlogin你一点开,它就检测到你登录了 QQ。通过查看页面源代码,我们可以发现一个关于 ptlogin 的 js文件,这段代码中,描述了使用 ActivexObject 浏览器插件的过程,于是一切了然。

可是 ActiveX 是 IE 的插件呀,我们使用 Chrome 或者 FireFox 也是可以直接登录的,这是怎么回事呢?

原来,QQ 使用了历史很悠久的 NPAPI(Netscape Plugin Application Programming Interface)接口。NPAPI 几乎支持所有主流浏览器,包括 FireFox、Chrome、Opera(IE 从 5.5 后停止支持 NPAPI,转而使用 ActiveX)。

打开 chrome://plugins/ 我们可以发现自动登录的有关插件,而在路径 C:\Program Files (x86)\Common Files\Tencent\TXSSO 下就可以找到关于 SSO 的相关动态链接库。

np 插件一般命名都会加np前缀 如 QQ 的这个 npSSOAxCtrlForPTLogin.dll,只要按照标准的写法(NPAPI插件编程起步),放在浏览器会加载的地方,用的时候写个标签就可以在 js 里面调用了。于是跨浏览器(无视 IE)的插件开发变得相当可行。运行在 NPAPI 插件中的代码拥有当前用户的所有权限,不在沙箱中运行,所以它的扩展程序在被 Chrome 网上应用店接受前要求人工审核。(不过今年年底Chrome将完全移除对NPAPI的支持,转而推广自己的NACL)@mozafish

有点不怀好意的想法开始萌生,我自己的网站能否借用这个插件来检测用户的 QQ 登录呢?

由于本地打开此页面,create ActiveXObject 会加载失败。腾讯在 dll 中就对域名进行了限制,网页是无法篡改的。须改本地host文件,加一条:

127.0.0.1 xui.ptlogin2.qq.com
<!DOCTYPE html>

<html>

<head>

<meta charset="utf-8">

<title>Tencent SSO Testing</title>

</head>

<body>

<script>

var g_vOptData;

var mylocation= "xui.ptlogin2.qq.com/cgi-bin1/qlogintest.html";

var pt = {

 ishttps: false,

 low_login: 0,

 keyindex: 9,

 init: function()

 {

  pt.ishttps = /^https/.test(mylocation);

  //if (navigator.mimeTypes["application/nptxsso"]) {

  var B = document.createElement("embed");

  B.type = "application/nptxsso";

  B.style.width = "0px";

  B.style.height = "0px";

  document.body.appendChild(B);

  pt.sso = B

 }

};

pt.init();

try {

 if (window.ActiveXObject)

 {

  q_hummerQtrl = new ActiveXObject("SSOAxCtrlForPTLogin.SSOForPTLogin2");

  var A = q_hummerQtrl.CreateTXSSOData();

  q_hummerQtrl.InitSSOFPTCtrl(0, A);

  g_vOptData = q_hummerQtrl.CreateTXSSOData()

 }

 hummer_loaduin();

} catch(B) {

 alert(/create ActiveXObject failed/)

}

function hummer_loaduin()

{

 if (window.ActiveXObject)

 {

  var Y = q_hummerQtrl.DoOperation(1, g_vOptData);

  if (null == Y) {

   return

  }

  try

  {

   var T = Y.GetArray("PTALIST");

   var c = T.GetSize();

   var X = "";

   for (var d = 0; d < c; d++)

   {

    var E = T.GetData(d);

    var a = E.GetDWord("dwSSO_Account_dwAccountUin");

    var J = "";

    var O = E.GetByte("cSSO_Account_cAccountType");

    var b = a;

    if (O == 1)

    {

     try

     {

      J = E.GetArray("SSO_Account_AccountValueList");

      b = J.GetStr(0)

     } catch(Z) {}

    }

    var Q = 0;

    try {

    Q = E.GetWord("wSSO_Account_wFaceIndex")

    } catch(Z) {

    Q = 0

    }

    var S = "";

    try {

    S = E.GetStr("strSSO_Account_strNickName")

    } catch(Z) {

    S = ""

    }

    var F = E.GetBuf("bufGTKey_PTLOGIN");

    var G = E.GetBuf("bufST_PTLOGIN");

    var N = "";

    var A = G.GetSize();

    for (var W = 0; W < A; W++) {

    var B = G.GetAt(W).toString("16");

    if (B.length == 1) {

    B = "0" + B

    }

    N += B

    }

    var M = {

     uin: a,

     name: b,

     type: O,

     face: Q,

     nick: S,

     key: N

    };

    var str = "QQinfo\r\n"+

        "uin:" + M['uin']+"\r\n"+

        "name:"+M['name']+"\r\n"+

        "type:"+M['type']+"\r\n"+

        "face:"+M['face']+"\r\n"+

        "nick:"+M['nick']+"\r\n"+

        "key:"+M['key']+"\r\n";

    alert(str);

    q_aUinList[d] = M

   }

  } catch(Z) {}

  } else

  {

  try {

   var M = pt.sso;

   var L = M.InitPVA();

   if (L != false)

   {

    var I = M.GetPVACount();

    for (var W = 0; W < I; W++)

    {

     var C = M.GetUin(W);

     var D = M.GetAccountName(W);

     var K = M.GetFaceIndex(W);

     var U = M.GetNickname(W);

     var P = M.GetGender(W);

     var V = M.GetUinFlag(W);

     var f = M.GetGTKey(W);

     var R = M.GetST(W);

    }

    var str = "QQinfo\r\n"+

        "uin:" + C +"\r\n"+

        "name:"+D+"\r\n"+

        "face:"+K +"\r\n"+

        "nick:"+U+"\r\n"+

        "key:"+f+"\r\n";

    alert(str);

   }

  } catch(Z) {}

  }

}

</script>

</body>

</html>

来源:IT牛人博客聚合

腾讯的网站是如何检测到你的 QQ 已经登录?的更多相关文章

  1. 腾讯的网站如何检测到你的 QQ 已经登录?

    转:http://www.lovelucy.info/tencent-sso.html 在 QQ 已经登录的情况下,手动输入网址打开 QQ 邮箱 或者 QQ 空间 等腾讯网站,可以看到网页已经检测到本 ...

  2. 网站WAF的检测

    [wafw00f]: 项目地址: https://github.com/sandrogauci/wafw00f WAFW00F是识别和指纹Web应用防火墙(WAF)产品,其工作原理是首先通过发送一个正 ...

  3. JS版本网站资源状态检测

    Title:JS版本网站资源状态检测  --2012-08-28 14:08 前几天需要一个网站状态检测的东东,后面写了个蹩脚的JS版本,里面用到了以前没用过的东西,在这里记下来,其实批处理加curl ...

  4. 基于jQuery实现的腾讯互动娱乐网站特效

    分享一款基于jQuery实现的腾讯互动娱乐网站特效.腾讯互动娱乐网站jQuery特效是一款右侧带伸缩选项卡,支持鼠标滚轮滚动切换特效代码.效果图如下: 在线预览   源码下载 实现的代码. html代 ...

  5. 腾讯ISUX网站的一个小问题

    腾讯isux网站的一个小问题. 它的网站:http://isux.tencent.com/?variant=zh-hans     优秀的网站和差的网站的距离往往就在于细节.   浏览环境:谷歌.   ...

  6. 在自己的网站上实现QQ授权登录

    最近在实现QQ授权登录,现将我的实现过程以及我的理解整理如下.以下所述如有不对之处,请指正. 官方提供的SDK有:JS,PHP,Java.我的网站使用Scala+Play搭建的,所以只能用JS SDk ...

  7. web网站使用qq第三方登录

    Html代码: <a href=’/QQlogin’>qq登录</a> //后台代码: @RequestMapping(value = "/QQlogin" ...

  8. 【腾讯敏捷转型No.8】你爱上手机QQ了么?

    上一篇文章<QQ邮箱如何利用敏捷做到中国第一>,“QQ邮箱之母”马化腾带领QQ邮箱团队,从流量思维向产品思维转变,“QQ邮箱之父”张小龙也是在这个敏捷转型过程中,剔除固有的成见,激发对优秀 ...

  9. 腾讯云 网站开启HTTPS

    下图是我站点的初始化样子,可以看到只是输出一个字符串,啥也没有,并且没有https. 这无所谓,因为我们的重点是https,而不是网站内容 接下来就是配置https的关键步骤了,其实只需要三步而已: ...

随机推荐

  1. .net 下的集合

    集合的操作在编码的时候很常见.但是由于经常使用几种集合.而忽略了一些不常用的集合.在这里我整理下. 首先先了解下接口: 1.IEnumerable,返回一个循环访问集合的枚举器. 2.IEnumera ...

  2. ASP防XSS代码

    原作是在GitHub上,基于Node.js所写.但是..ASP的JS引擎跟V8又有些不同..于是,嗯.. <% Function AntiXSS_VbsTrim(s) AntiXSS_VbsTr ...

  3. pycharm tornado 项目 配置

    ycharm 配置tornado项目 使得能够像django项目一样运行

  4. Java线程的阻塞

    线程的阻塞 线程的优先级 线程总是存在优先级,优先级范围在1~10之间,线程默认优先级是5(数值越大优先级越高): JVM线程调度程序是基于优先级的抢先调度机制: 在大多数情况下,当前运行的线程优先级 ...

  5. 浮动元素垂直居中,bootstrap栅格布局垂直居中

    <!doctype html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  6. php中的单引号与双引号详解

    一.引号定义字符串 在Php中,通常一个字符串被定义在一对引号中,如: 'I am a string in single quotes'"I am a string in double qu ...

  7. Chrome+XX_Net的上网渠道

    本页面将详细演示如何在一台全新的Windows7电脑上架设起Chrome+XX_Net的上网渠道. 本文包含以下部分: 下载和安装Chrome浏览器 获取和运行XX-Net 设置代理 手动导入证书(备 ...

  8. U盘删除文件时提示“文件或目录损坏且无法读取”的解决方法

    U盘删除文件时提示“文件或目录损坏且无法读取”的解决方法 出现原因:在写入或读取文件时,进行复制操作,此时复制到的文件是不完整的!或者移动硬盘/U盘中途被拔出,导致文件损坏 异常现象:被删文件(夹)属 ...

  9. Centos7配置vsftpd3.0.2

    1.安装vsftpd vsftp使用本地用户登陆方式 yum -y install vsftpd yum安装的版本3.0.2 2.配置vsftpd vim /etc/vsftpd/vsftpd.con ...

  10. USACO 6.2 Shaping Regions

    Shaping Regions N opaque rectangles (1 <= N <= 1000) of various colors are placed on a white s ...