经典干货 | Taobao SSO 跨域登录过程解析

最新推荐文章于 2026-04-24 13:21:39 发布
原创 最新推荐文章于 2026-04-24 13:21:39 发布 · 9k 阅读 · 9

目录

  • 基础知识

  • 测试过程

  • 禁用Cookie

  • 分布式Session 的常见解决方案

  • 思考

  • Session 劫持与防范

  • 本质思考

  • 抓包工具介绍


我们知道双十一是天猫的主场,双十二是淘宝的主场,你有没有注意到你在登录了淘宝后,访问天猫或者飞猪,你还是处于登录态的,但是我们知道cookie是不能跨域的。

那么阿里是如何做到了多域名下的登录态同步呢?

接下来我们通过抓包进行请求解析来了解这个过程。


基础知识


  1. 如果忘了Cookie和Session的区别,那么建议你先回顾一下,可以参考:https://github.com/astaxie/build-web-application-with-golang/blob/master/zh/06.1.md


  2. 如果不知道为什么需要鉴权,为什么需要SSO,为什么需要跨域登录,建议你先阅读上一篇文章“系统权限控制”



测试过程


  1. 访问www.taobao.com 请求登录,跳转到 login.taobao.com

  • 输入用户名和密码后,登录成功,302 回调到www.taobao.com页面

  • Post 表单到 login.taobao.com , response 为 set-cookie,并通过redirectURL 跳会www.taobao.com首页;


访问 www.tmall.com

  • www.tmall.com页面响应中发起新的请求 tmcc.tmall.com/pass.com


请求页面 https://tmcc.tmall.com/pass.htm

  • 响应为 302 跳转到: https://login.taobao.com/jump?target=https://tmcc.tmall.com/pass.htm?tbpm

最低0.47元/天 解锁文章
阿里系cookie之acw_sc__v2 逆向分析
自成背后的博客
06-01 8106
阿里系cookie之acw_sc__v2 逆向分析
Weave Net容器网络实战:从原理到部署与故障排查
最新发布
weixin_33737774的博客
04-24 506
容器网络是容器化技术栈中的核心组件,它负责实现主机容器间的通信与隔离。其基本原理是通过虚拟网络技术,在物理网络之上构建一个覆盖网络,为容器提供独立的IP地址空间和网络策略。这项技术的核心价值在于,它使得分布式应用中的服务能够像在本地网络中一样直接通信,从而支撑起微服务架构和动态扩缩容的云原生应用场景。在众多容器网络方案中,Weave Net以其开箱即用和零配置的特性脱颖而出,特别适合快速搭建原型或中小规模集群。它通过智能的VXLAN封装和自动降级机制,在保证网络性能的同时,提供了极强的环境兼容性。本文将以
深入浅出单点登录---1、什么是单点登录
u014526891的博客
03-14 1万+
SSO单点登录 什么是单点登录 随着互联网大数据不断发展,应用服务的不断增多,单点登录越来越能够凸显其作用。单点登录 SSO(Single Sign On),顾名思义就是单个节点登录,全局使用。是目前最为流行的统一登录解决方案。 为什么使用 目的就是为了快速实现用户认证,统一管理用户信息, 避免重复维护用户数据; 分离用户与业务数据,让业务 服务专注于业务功能的实现,让用户中心服务统一认证,减少频繁认证次数, 同时保障数据的安全性。 应用场景 内部的服务统一认证与授权,比如电商网站, 内部的用户服务、订单
淘宝技术架构演进之路--精华版
July的博客
05-13 4569
淘宝最初的架构 随着访问量和数据量的飞速上涨,问题很快就出来了,第一个问题出现在数据库上。 MySQL当时是第4版的,我们用的是默认的存储引擎MyISAM,这种存储引擎在写数据的时 候会把表锁住。当Master同步数据到Slave的时候,会引起Slave写,这样在Slave的读操作 都要等待。还有一点是会发生Slave上的主键冲突,经常会导致同步停止,这样,你发布的 一些东西明明已经成功了,但就是查询不到。 数据库从mysql升级到oracle 将php更换为java语言,并使用自研的 淘宝MVC 自
爬虫技术-cookie反爬讲解
shifengboy的博客
09-04 5940
COOkIE反爬虫 1 cookie反爬简介 Cookie 反爬虫指的是服务器端通过校验请求头中的 Cookie 值来区分正常用户和爬虫程序的手段,这种手段被广泛应用在 Web 应用中。 1.1 cookie加密原理 2 cookie逆向实践 2.1 逆向目标 地址:http://www.zjmazhang.gov.cn/hdjlpt/published?via=pc 接口:http:...
劫持cookie原理(淘宝,天猫案例)
weixin_44915162的博客
08-23 2042
由于JavaScript能读取到页面的Cookie,而用户的登录信息通常也存在Cookie中,这就造成了巨大的安全隐患,这是因为在HTML页面中引入第三方的JavaScript代码是允许的: <!--www.example.com--> <html> <head> <script src="http://www.foo.com/jquery.js"></script> </head> ... </html> 如果引入的第三
Python模拟登录淘宝都实现了,你还怕模拟登录
简说Python的博客
08-19 844
点击“简说Python”,选择“置顶/星标公众号”福利干货,第一时间送达!本文授权转载自裸睡的猪,禁二次转载作者:猪哥66阅读文本大概需要 8 分钟。最近想爬取淘宝的一些...
熬夜冠军,为你整理单点登录体系架构,跟着学,还怕什么学不会吗
Java架构师联盟
05-13 662
今天的干货有点湿,里面夹杂着我的泪水。可能也只有代码才能让我暂时的平静。 不知道大家平时在学习的时候,拿到一份资料,有没有先看一下目录的习惯,今天也不是看书,就是单纯的经验分享,那么,咱也不整那个花里胡哨的目录了,简单直白点,直接一套思维导图奉上,清晰明了,(个人建议大家在平时的学习中也可以去整理类似的架构图,梳理一下自己的知识) 简介 单点登录英文全称Single Sign On,简称就是SSO。它的解释是:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。 常见的应用.
IM的扫码登录功能如何实现?一文搞懂主流的扫码登录技术原理
hellojackjiang2011的博客
01-08 301
1、引言 扫码登录这个功能,最早应该是微信的PC端开始搞,虽然有点反人类的功能(不扫码也没别的方式登录),但不得不说还是很酷的。 下面这张图,不管是IM开发者还是普通用户,应该很熟悉: 于是,搞IM产品的老板和产品经理们,从此又多了一个要抛给程序员们的需求——“为什么微信有扫一扫登录,而我们的没有?”。 好吧,每次只要是微信有的功能,IM程序员们想甩锅,难度...
淘宝商品详情接口(app、h5端)
热门推荐
weixin_44353800的博客
07-08 1万+
淘宝接口 前言 一、H5端请求 请求方法 返回结果 二、淘宝APP 1.引入库 2. 淘宝APP 返回结果 测试j接口一、H5端请求 请求方法 返回的结果并不是json字符串,需要通过正则表达式提取出json字符串。 请求多了之后,容易出现被挤爆的限制,此时更换ua、代理Ip均无效。需要手动过滑块后得到x5sec加入到cookie中才能继续请求。...
淘宝cookie续期实战操作
2501_92178017的博客
05-26 1959
3,根据算法请求生成返回的数据,再去调用接口刷新ck,获取新的cookie,就可以刷新cookie的作用了。然后抓取到数据就不能实时获取了,cookie过期还得手动登陆获取cooke比较麻烦,这样cookie在快失效的时候,请求接口就能更新cookie了,理论上就不会失效了。经过长达一个月的时间测试cookie都没有失效,有些失效的cookie也可以刷新,然后发现淘宝cookie有效期是72小时左右,也就是3天大概吧,最近爬虫淘宝评论,但是很多风控需要淘宝cookie才能获取。最近比较忙,后期继续更新!
taobao.com 和 tmall.com 为什么能做到登录互通
lee弟弟的博客
09-17 3701
目录: 登录互通 Cookie/Session的共享 Cookie/Session的共享的方法 存储到数据库服务器 服务端同步(依赖 cookie) 服务器同步 memcache 共享 session redis 共享 session 总结 taobao.com 和 tmall.com 登录互通 登录互通 当前非常火的单点登录SSO,在多个系统的集群里,用户只需一次登陆,其他系统也会感知到用户登陆,不需要用户重新输入用户名密码登陆。 这是外行人的理解,内行人就得看看其中的黑魔法。 首先
获得淘宝的_tb_token_
weixin_34352005的博客
06-16 2082
$cookiepath = 'cookie.txt';//cookie文件 if(file_exists($cookiepath)){ $fp=fopen($cookiepath,"r"); while(!(feof($fp))) { $text=fgets($fp); if(preg_match("/_tb_token_=(...
淘宝js逆向分析
xuexueyouzi的博客
12-31 2668
淘宝爬虫,解密sign参数
JS逆向|半自动补环境插件实战操练:某常见cookie反爬
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
03-29 2180
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!昨天讲了V神插件的安装和简单使用,今天再讲一个案例,说说为啥我说它是半自动补环境的插件。一.抓包分析在这里我使用的是火狐浏览器进行抓包分析,插件安装在谷歌浏览器上面。如上图所示,一个html被请求了3次,第一次返回响应码 521,第二次同样返回响应码 ...
多维系统下单点登录深入详解
m0_46690280的博客
11-24 2516
多维系统下单点登录深入详解1. 从淘宝天猫的单点登录说起1.1 SSO单点登录1.2 淘宝天猫登录场景解析2. 单点登录之整体解决方案2.1 设计方案-Cookie2.2 设计方案-分布式Session2.3 设计方案-客户端令牌Token2.4 技术方案-CAS认证2.5 技术方案-OpenID认证2.6 技术方案-SAML2.0认证2.7 技术方案-OAuth2认证3. 单点登录之技术方案深入详解3.1 基于SAML实现的统一认证3.1.1 概述3.1.2 什么是断言(Assertions)3.1.3
cookie反爬----普通服务器,阿里系
Dexter的博客
11-23 2247
cookie反爬----普通服务器,阿里系acw_sc_v2
JS逆向案例:淘宝商品数据抓取爬虫
Orangeyezzer的博客
06-23 2250
免责说明:本次案例仅供学习,且不可滥用!
淘宝开放平台API逆向分析:如何绕过反爬获取实时商品数据
lovelin_5566的博客
06-23 2794
行为特征识别:系统通过请求频率(单IP限30次/分钟)、参数时效性(_timestamp误差±30秒)、浏览器特征(缺少navigator.hardwareConcurrency)等维度识别自动化请求。动态参数加密:接口请求需携带动态生成的_signature参数,该参数基于HMAC-SHA256算法,结合当日密钥(day_code)与参数排序生成。secret = "tb_2025_v2_" + key_info['day_code'] # 动态密钥。
如何实现 [ 单点登录 ] ?
weixin_34129145的博客
02-22 412
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值