在 QQ 已经登录的情况下,手动输入网址打开 QQ 邮箱 或者 QQ 空间 等腾讯网站,可以看到网页已经检测到本地 QQ 客户端已经登录,于是用户可以很方便地一键登录网站而不必再输入用户名密码。

这实际上是典型的异构系统单点登录 SSO(single-sign-on)技术。 网页怎么会知道我登录的 QQ 号码? 腾讯是如何实现的呢?

网上有很多猜测,比如:

  1. QQ 登录时在本地某地方存登录 ID 信息(Cookie 或文件),用 js 读,然后去服务器认证。但是现在的浏览器一般有沙箱功能,js 无法读到登录 ID;而且在清空 Cookie 后依然起作用。
  2. 以 IP、CPU ID、硬盘 ID 等硬件设备 hash 做唯一标识,QQ 登录时在服务器记录此信息,js 验证。感觉这样依赖环境过多,QQ 不太可能采用此方法。
  3. QQ 启动某端口监听,js 连接此端口。但是用 netstat 查看后,QQ 并没有监听端口。

有这么一个神奇的链接,http://xui.ptlogin2.qq.com/cgi-bin/qlogin你一点开,它就检测到你登录了 QQ。通过查看页面源代码,我们可以发现一个关于 ptlogin 的 js文件,这段代码中,描述了使用 ActivexObject 浏览器插件的过程,于是一切了然。

可是 ActiveX 是 IE 的插件呀,我们使用 Chrome 或者 FireFox 也是可以直接登录的,这是怎么回事呢?

原来,QQ 使用了历史很悠久的 NPAPI(Netscape Plugin Application Programming Interface)接口。NPAPI 几乎支持所有主流浏览器,包括 FireFox、Chrome、Opera(IE 从 5.5 后停止支持 NPAPI,转而使用 ActiveX)。

打开 chrome://plugins/ 我们可以发现自动登录的有关插件,而在路径 C:\Program Files (x86)\Common Files\Tencent\TXSSO 下就可以找到关于 SSO 的相关动态链接库。

np 插件一般命名都会加np前缀 如 QQ 的这个 npSSOAxCtrlForPTLogin.dll,只要按照标准的写法(NPAPI插件编程起步),放在浏览器会加载的地方,用的时候写个标签就可以在 js 里面调用了。于是跨浏览器(无视 IE)的插件开发变得相当可行。运行在 NPAPI 插件中的代码拥有当前用户的所有权限,不在沙箱中运行,所以它的扩展程序在被 Chrome 网上应用店接受前要求人工审核。(不过今年年底Chrome将完全移除对NPAPI的支持,转而推广自己的NACL)@mozafish

有点不怀好意的想法开始萌生,我自己的网站能否借用这个插件来检测用户的 QQ 登录呢?

由于本地打开此页面,create ActiveXObject 会加载失败。腾讯在 dll 中就对域名进行了限制,网页是无法篡改的。须改本地host文件,加一条:

127.0.0.1 xui.ptlogin2.qq.com
<!DOCTYPE html>

<html>

<head>

<meta charset="utf-8">

<title>Tencent SSO Testing</title>

</head>

<body>

<script>

var g_vOptData;

var mylocation= "xui.ptlogin2.qq.com/cgi-bin1/qlogintest.html";

var pt = {

 ishttps: false,

 low_login: 0,

 keyindex: 9,

 init: function()

 {

  pt.ishttps = /^https/.test(mylocation);

  //if (navigator.mimeTypes["application/nptxsso"]) {

  var B = document.createElement("embed");

  B.type = "application/nptxsso";

  B.style.width = "0px";

  B.style.height = "0px";

  document.body.appendChild(B);

  pt.sso = B

 }

};

pt.init();

try {

 if (window.ActiveXObject)

 {

  q_hummerQtrl = new ActiveXObject("SSOAxCtrlForPTLogin.SSOForPTLogin2");

  var A = q_hummerQtrl.CreateTXSSOData();

  q_hummerQtrl.InitSSOFPTCtrl(0, A);

  g_vOptData = q_hummerQtrl.CreateTXSSOData()

 }

 hummer_loaduin();

} catch(B) {

 alert(/create ActiveXObject failed/)

}

function hummer_loaduin()

{

 if (window.ActiveXObject)

 {

  var Y = q_hummerQtrl.DoOperation(1, g_vOptData);

  if (null == Y) {

   return

  }

  try

  {

   var T = Y.GetArray("PTALIST");

   var c = T.GetSize();

   var X = "";

   for (var d = 0; d < c; d++)

   {

    var E = T.GetData(d);

    var a = E.GetDWord("dwSSO_Account_dwAccountUin");

    var J = "";

    var O = E.GetByte("cSSO_Account_cAccountType");

    var b = a;

    if (O == 1)

    {

     try

     {

      J = E.GetArray("SSO_Account_AccountValueList");

      b = J.GetStr(0)

     } catch(Z) {}

    }

    var Q = 0;

    try {

    Q = E.GetWord("wSSO_Account_wFaceIndex")

    } catch(Z) {

    Q = 0

    }

    var S = "";

    try {

    S = E.GetStr("strSSO_Account_strNickName")

    } catch(Z) {

    S = ""

    }

    var F = E.GetBuf("bufGTKey_PTLOGIN");

    var G = E.GetBuf("bufST_PTLOGIN");

    var N = "";

    var A = G.GetSize();

    for (var W = 0; W < A; W++) {

    var B = G.GetAt(W).toString("16");

    if (B.length == 1) {

    B = "0" + B

    }

    N += B

    }

    var M = {

     uin: a,

     name: b,

     type: O,

     face: Q,

     nick: S,

     key: N

    };

    var str = "QQinfo\r\n"+

        "uin:" + M['uin']+"\r\n"+

        "name:"+M['name']+"\r\n"+

        "type:"+M['type']+"\r\n"+

        "face:"+M['face']+"\r\n"+

        "nick:"+M['nick']+"\r\n"+

        "key:"+M['key']+"\r\n";

    alert(str);

    q_aUinList[d] = M

   }

  } catch(Z) {}

  } else

  {

  try {

   var M = pt.sso;

   var L = M.InitPVA();

   if (L != false)

   {

    var I = M.GetPVACount();

    for (var W = 0; W < I; W++)

    {

     var C = M.GetUin(W);

     var D = M.GetAccountName(W);

     var K = M.GetFaceIndex(W);

     var U = M.GetNickname(W);

     var P = M.GetGender(W);

     var V = M.GetUinFlag(W);

     var f = M.GetGTKey(W);

     var R = M.GetST(W);

    }

    var str = "QQinfo\r\n"+

        "uin:" + C +"\r\n"+

        "name:"+D+"\r\n"+

        "face:"+K +"\r\n"+

        "nick:"+U+"\r\n"+

        "key:"+f+"\r\n";

    alert(str);

   }

  } catch(Z) {}

  }

}

</script>

</body>

</html>

来源:IT牛人博客聚合

腾讯的网站是如何检测到你的 QQ 已经登录?的更多相关文章

  1. 腾讯的网站如何检测到你的 QQ 已经登录?

    转:http://www.lovelucy.info/tencent-sso.html 在 QQ 已经登录的情况下,手动输入网址打开 QQ 邮箱 或者 QQ 空间 等腾讯网站,可以看到网页已经检测到本 ...

  2. 网站WAF的检测

    [wafw00f]: 项目地址: https://github.com/sandrogauci/wafw00f WAFW00F是识别和指纹Web应用防火墙(WAF)产品,其工作原理是首先通过发送一个正 ...

  3. JS版本网站资源状态检测

    Title:JS版本网站资源状态检测  --2012-08-28 14:08 前几天需要一个网站状态检测的东东,后面写了个蹩脚的JS版本,里面用到了以前没用过的东西,在这里记下来,其实批处理加curl ...

  4. 基于jQuery实现的腾讯互动娱乐网站特效

    分享一款基于jQuery实现的腾讯互动娱乐网站特效.腾讯互动娱乐网站jQuery特效是一款右侧带伸缩选项卡,支持鼠标滚轮滚动切换特效代码.效果图如下: 在线预览   源码下载 实现的代码. html代 ...

  5. 腾讯ISUX网站的一个小问题

    腾讯isux网站的一个小问题. 它的网站:http://isux.tencent.com/?variant=zh-hans     优秀的网站和差的网站的距离往往就在于细节.   浏览环境:谷歌.   ...

  6. 在自己的网站上实现QQ授权登录

    最近在实现QQ授权登录,现将我的实现过程以及我的理解整理如下.以下所述如有不对之处,请指正. 官方提供的SDK有:JS,PHP,Java.我的网站使用Scala+Play搭建的,所以只能用JS SDk ...

  7. web网站使用qq第三方登录

    Html代码: <a href=’/QQlogin’>qq登录</a> //后台代码: @RequestMapping(value = "/QQlogin" ...

  8. 【腾讯敏捷转型No.8】你爱上手机QQ了么?

    上一篇文章<QQ邮箱如何利用敏捷做到中国第一>,“QQ邮箱之母”马化腾带领QQ邮箱团队,从流量思维向产品思维转变,“QQ邮箱之父”张小龙也是在这个敏捷转型过程中,剔除固有的成见,激发对优秀 ...

  9. 腾讯云 网站开启HTTPS

    下图是我站点的初始化样子,可以看到只是输出一个字符串,啥也没有,并且没有https. 这无所谓,因为我们的重点是https,而不是网站内容 接下来就是配置https的关键步骤了,其实只需要三步而已: ...

随机推荐

  1. Django模型和ORM

    一.ORM ORM介绍 ORM概念 对象关系映射(Object Relational Mapping,简称ORM)模式是一种为了解决面向对象与关系数据库存在的互不匹配的现象的技术. 简单的说,ORM是 ...

  2. 14 Go's Declaration Syntax go语言声明语法

    Go's Declaration Syntax go语言声明语法 7 July 2010 Introduction Newcomers to Go wonder why the declaration ...

  3. Python_oldboy_自动化运维之路(四)

    本节内容 集合 字符编码与转码 函数语法及基本特性 函数参数与局部变量 返回值和嵌套函数 递归 匿名函数 高阶函数 1.集合 集合是一个无序的,不重复的数据组合,它的主要作用如下: 去重,把一个列表变 ...

  4. 静态链接库(lib)、动态链接库(dll)与动态链接库的导入库(lib)

    静态链接库与动态链接库相对应.动态链接库的导入库不同于以上两种库. 1.静态链接库(lib)     程序编译一般需经编辑.编译.连接.加载和运行几个步骤.在我们的应用中,有一些公共代码是需要反复使用 ...

  5. MySQL学习笔记:insert into select

    从一个表复制数据插入到另外一个表,目标表中任何已存在的行都不会受影响. 语法: INSERT INTO table_xxx VALUES(); INSERT INTO table_xxx SELECT ...

  6. 调研助力4S店,解码困境谜团

    关键词————4S店.汽车.销售.精准营销.闭环.用户满意度.精细化管理 一.背景 4S店是“四位一体”的汽车销售专卖店,包括了整车销售.零配件供应.售后服务.信息反馈四项功能. 信息化管理 精细化管 ...

  7. C# Except

    我们往往需要把一个列表中,去除另外一个列表的元素,C#提供了很好的方法,Except. 但是往往不小心就掉进坑里了. 看下面的代码: static void Main(string[] args) { ...

  8. oracle创建job和删除job

    https://blog.csdn.net/u010001043/article/details/56479774

  9. C#一步一步学网络辅助开发(1)--常用抓包工具的使用

    这次写的是一个系列,是让大家了解如何进行网络的辅助开发.要进行网络辅助开发抓包工具是必不可少的,下面就让大家熟悉一下常用的一些抓包工具, 1,Fiddler 这个工具是我目前用的最多的一款抓包工具,不 ...

  10. Winsock—I/O模型之选择模型(一)

    Winsock中提供了一些I/O模型帮助应用程序以异步方式在一个或多个套接字上管理I/O. 这样的I/O模型有六种:阻塞(blocking)模型,选择(select)模型,WSAAsyncSelect ...