用脚本跑几天就开出来了

马克一下

@asvow 大佬，你好！在你无忧行脚本的基础上，我想再增加”关注达人“和”参与评论“这两个模块，每天就能多 5 个币，相关的 url ，body ，headers 都抓取无误，但每次运行脚本时，都会提示 failed, reason: unable to verify the first certificate ，百度了一下发现是缺少中间证书的原因，但直接在 fiddler composer 里面运行时，则能正常响应，猜测是执行用 fiddler 抓包时缓存了相关的证书，所以不会报错，所以想请教下大佬有什么好的解决方案让脚本端能顺利跑起来？
附上测试链接：

//任务名：关注某 id
https://app3.jegotrip.com.cn/api/service/user/v1/follow?token=填写自己的 token

//headers 参数
Content-Type: application/json
Host: app3.jegotrip.com.cn
User-Agent: Roam/20211229.1 CFNetwork/1206 Darwin/20.1.0

//post-body 无需加密 运行后在关注列表为添加这位 id
{
"userId": 22134094
}


//response-body 正常执行完成后的响应
{
"body": "",
"code": "0",
"msg": ""
}

@Ansen 直接去原作者网站查看，他 1 月 21 号更新了

@locoz 到了一个网络环境，都 ok 了，跟 https://www.prettifyjs.net/这个网站反混淆的，是差不多的效果

@locoz 代码粘贴进去点还原，总是报错，还是用回笨办法，用了楼上一位老哥的链接，把 js 美化 /反混淆后直接硬着头皮去研究

@Juszoe 好像被我解决了，分析了另外一个 js （ http://app.xiaoyi.com/cnApph5/_nuxt/247c36a83845ea02d71b.js ），然后搜索 hmac ，就找到了他的加密函数，我对 js 不是太精通，于是借助 vscode 对函数内的每一条语句单独调试，看看结果到底是什么，基本就摸清楚了

@musi 小蚁 app 是在手机上运行的一个 app ，不是一个单独的网页，可以 fiddler 抓包然后 debug 吗？对这一块不熟悉，求一个思路~

@pengtdyd 有好多个 js 文件，不知道哪一个包含生成 hmac 函数的

@mm163 多谢，我转换一下试试

强力马克

@yxnwh 需调用 crypto-js 模块

const CryptoJs = require('crypto-js');

@asvow 前几天发现 jegotrip 对部分 post 的 body 进行了 aes 加密，狗尾续貂，帮大佬改了几行代码，能继续使用了

signid = {"signConfigId":id};
body = JSON.stringify(Encrypt(signid));

function Encrypt(i) {
if (!i || "object" != typeof i) return {};
var t = "online_jego_h5",
r = "93EFE107DDE6DE51",
n = "01";
var o = function() {
var i = (new Date).getTime().toString() + Math.floor(900 * Math.random() + 100).toString(),
o = r + i,
s = CryptoJs.MD5(o).toString().toLowerCase().slice(8, 24),
c = CryptoJs.enc.Utf8.parse(t + ";" + i + ";" + n);
return {
key: s,
sec: CryptoJs.enc.Base64.stringify(c)
}
}(),
s = JSON.stringify(i),
c = CryptoJs.enc.Utf8.parse(o.key),
a = CryptoJs.AES.encrypt(s, c, {
mode: CryptoJs.mode.ECB,
padding: CryptoJs.pad.Pkcs7
}).toString();
return {
sec: o.sec,
body: a
}
}

@maichael 再次感谢大佬，昨晚分析了一会，大致是这个流程（小白个人分析，不一定完全对）：这个网站是先调用了 getUserMission 这个接口，获取服务器端用户的一些数据（等级，积分，用户名等等）其中包含了 mission 字段，随后再调用 UserMission 接口签到，并将签到数据写入 mission 字段，从而实现用户签到数据的更新，如果不经调用 getuserinfo 这个接口，则导致无法获得 mission 字段，进而导致签到后的数据无法写入

@maichael 多谢大佬的思路，我在 fiddler 抓包时，发现登录网页后，stream 流里面还紧跟着一个登录 hi.kejiwanjia.com 链接的 login 信息，我试试把这个 login 也写进去

@yxnwh jwt-auth

登录这一步，你可以在抓包时关注下含有 jwj-auth 这个关键词的网址，会有惊喜

@shenyu1996 有的，那个很简单就没贴，思路就是通过 username 和 password ，拿到实时 token ，拿到的 token 再传到这个 sign 函数里面，拼接成 authorization ，就可以签到了

很奇怪的地方就是，直接 post 构造链接，无论如何都不能签到，但一旦登录次，再 post 链接，马上就能签到成功

@liliclinton 好吧，我果然是在一派胡言。。。