突破权限查看人人网特定用户所有相册(加密除外)的算法

在学校论坛上看见一个chrome插件，可以用来进行人人网搜索，查看照片，方便好用，在此共享，下载地址：猛击这里下载

以下是该工具的设计思路

steps:                                         


1.访问对方主页，发现“相册”处为灰色，无法进入，没关系。复制下Ta的人人网id
2.访问:http://photo.renren.com/getalbumprofile.do?owner=Ta的id

这时候，你就进入了Ta的头像相册里。头像相册搞定。

3.点击头像相册的第一张照片（一定要是第一张），这时可看到地址栏上显示 http://photo.renren.com/photo/Ta的id/photo-第一张头像照片的id

4.对上一步得到的网址进行编辑，在photo- 前面插入字符串"latest/"，得到http://photo.renren.com/photo/Ta的id/latest/photo-第一张头像照片的id

5.访问第4步得到的网址，此时进入了该用户的"最近照片"的相册。注意到，照片的下方显示着"来自：某某某| 相册： 头像相册"

6.鼠标放在照片右侧，点击一下，可看到进入了下一张该用户最近上传的照片。注意到，照片的下方显示着来自：某某某| 相册： 另一个相册"，这里的“另一个相册”是可以点击并进行浏览的，于是“另一个相册”搞定。


重复第6步，直到发现新的相册。对于一般用户而言，此方法可搞定所有相册(至少是大部分)，除非Ta一次性上传了200张照片造成"最近照片"的相册里只有一个相册……

以下是开发者感想：

花了2个月的时间，从连chrome都拼不对的零基础开始，学js html css php mysql ，共写了4千行代码，完成了一个chrome插件，对人人网的搜索接口进行封装，改进和扩展。

功能是按输入条件实时搜索全国所有大学的人人网用户同时列出其照片

并且:

1,标记其相册是否对非好友可见

2,列出其相册数目

3,按照某种准则将用户分为 文艺，普通，其他等几类。

4,支持收藏

5,支持收藏结果上传，收藏用户人气+1

6,可查看实时排行榜。

7,用了webkit的css，界面美观友好


所以：

如果很多人参与，每个人独立搜索并收藏上传其觉得不错的结果，那么整个排行榜就是集体搜索劳动的结晶，大家可以共享，如果你真的爱看美女帅哥照片的话，这会是个不错的工具。如果觉得无聊，那我猜你一定是个专心致志学习，为了保研或者出国而奋斗，偶尔上极速下个电影放松下下的好孩子。




开发这个，楼主是不是寂寞了？


楼主只是为了学习互联网技术，找一个比较具有吸引力的东西来做而已。和寂寞无关，和兴趣有关，和用技术把脑海里的想法变为现实的热情有关。


这个是否侵犯了人家的肖像权？

本插件并没有商业成分，也没有丑化人家的肖像，只是让校内网用户本来通过手动可以达到的目的，更加智能方便一点（比如人人网改造器）。不构成侵犯肖像权的判定条件。
所以放心吧。

能看设权限的用户的相册是怎么回事？

分情况。当用户设了“同大学的人可见”，那么其一切相册可见。原理是每选择一个大学，本插件将在后台自动添加目标用户所在大学的信息，即伪装成那个大学的人员进行目标用户的访问，这样，能看到的有效用户数目就可以大大增加了。
当用户设置了"仅好友可见"，并且你不是Ta的好友时，本插件最多可看包括头像相册在内的该用户最新的四个相册。

其实方法很简单，利用人人网设计上的疏忽，先使用它们完全不设防的getalbumprofile.do文件来访问目标用户的头像相册，再利用，在进入目标用户相册的前提下，人人网系统在页面右侧列出的三个该用户最新发布的三个相册的地址，来访问这三个相册即可。

工具截图如下：