海康威视网页客户端登录过程浅析

0.前言

海康威视主要涉足安防领域，视频监控是其核心业务，客户主要面向政府职能部门，如：公安系统等，曾参与北京奥运会、60年国庆大阅兵和上海世博会的安保工作。

1.请求分析。

1.1 Http请求：Http请求分为 请求方法URI协议/版本、请求头、请求正文。登录用的用户名密码信息不是放在请求URL里面就是放在请求正文里面。

下面以最常见的POST请求与GET请求为例：

post

POST( http://（URL在此隐去）/loginAction.do) HTTP/1.1
Accept: text/html, application/xhtml+xml, image/jxr, /
Referer: http://（URL在此隐去）/
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; >rv:11.0) like Gecko
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Content-Length: 24
Host: IP在此隐去
Connection: Keep-Alive
Pragma: no-cache
Cookie: JSESSIONID=adcrBT4BZcrANhWnwBhDv1

zjh=123456&mm=123456

按照标准，请求头和请求正文之间有一个空行。
用户的用户名密码信息放在请求正文里面，如下

zjh=123456&mm=123456

GET

GET https://www.telerik.com/UpdateCheck.aspx?isBeta=False HTTP/1.1
User-Agent: Fiddler/4.6.2.32002 (.NET 4.6.1; WinNT 10.0.10586.0; >zh-CN; 4xAMD64; Auto Update; Full Instance)
Pragma: no-cache
Host: www.telerik.com
Accept-Language: zh-CN
Referer: http://fiddler2.com/client/4.6.2.32002
Accept-Encoding: gzip, deflate
Connection: close

在GET请求中一般不包含请求正文，请求用的参数（如用户名密码）加在URL里面。
如下本样例里面的

isBeta=False

1.2 用fireBug进行请求的分析

分析结果如下图：

因为是GET请求，所以并没有请求正文，只有一个请求头。

在请求头的消息中并没有包含登录用的用户名，密码信息。

1.3 用Fiddler4与IE配合进行请求分析

PS:为啥一定要用IE?因为在某些浏览器（如火狐）发送的请求不能被Fiddler4抓到。

抓到的信息如下图：

GET http://**/PSIA/Custom/SelfExt/userCheck HTTP/1.1
Accept: /
If-Modified-Since: 0
Authorization: Basic YWRtaW46MTIzNDU2
X-Requested-With: XMLHttpRequest
Referer: http://*/doc/page/login.asp
Accept-Language: zh-CN
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; >rv:11.0) like Gecko
Host: *
Connection: Keep-Alive
Cookie: language=zh; updateTips=true

在这里看到有一个

Authorization: Basic YWRtaW46MTIzNDU2

我仿佛看到了密码
这个是一个明显的Base64编码
百度一下：base64解码

2.总结

1.在这个登录过程中：没有采用正常的GET请求直接在URL里面中直接加入请求用的参数。
2.是在请求头里面增加了一个授权字段，这个实际上是一种认证方式叫做 Basic Auth，有兴趣的同学可以自行百度一下。
3.FireBug用起来比较方便，没有成功获取到这个字段的内容,Fiddler4功能丰富,但是使用起来复杂一点。
4.在火狐浏览器的RESTClient插件中直接已经封装了Basic Auth功能，可以直接方式带有这种认证方式的请求，有兴趣的童鞋可以自己探索一下。