后使用快捷导航没有帐号？
只需一步，快速开始
查看: 904|回复: 6
在线时间36 小时经验值311 最后登录注册时间帖子阅读权限50UID
大学专科, 积分 311, 距离下一级还需 89 积分
TA的每日心情擦汗 16:18签到天数: 1 天[LV.1]初来乍到
G币79 最后登录注册时间
马上注册，结交更多机友，下载更多应用，让你轻松玩转手机。
已有帐号？　　　下载游戏和软件，请【】进入机锋市场！
4.0的微信，好像不能用扫描二维码加朋友，你们能行吗？
在线时间48 小时经验值200 最后登录注册时间帖子阅读权限50UID
大学专科, 积分 200, 距离下一级还需 200 积分
该用户从未签到
G币27 最后登录注册时间
4.0是不可以，下载新的4.2内侧版就可以
在线时间24 小时经验值433 最后登录注册时间帖子阅读权限60UID
大学本科, 积分 433, 距离下一级还需 267 积分
该用户从未签到
G币0 最后登录注册时间
绝世好文！
在线时间66 小时经验值196 最后登录注册时间帖子阅读权限40UID141457
高中生, 积分 196, 距离下一级还需 4 积分
该用户从未签到
G币78 最后登录注册时间
正在用4.2内测版,网页版的微信用着挺爽的.
在线时间711 小时经验值527 最后登录注册时间帖子阅读权限60UID2805114
大学本科, 积分 527, 距离下一级还需 173 积分
TA的每日心情开心 00:01签到天数: 3 天[LV.2]偶尔看看I
G币1021 最后登录注册时间
网页版是可以，，但像不能说话啊
你们是的吗？
在线时间4 小时经验值252 最后登录注册时间帖子阅读权限50UID591375
大学专科, 积分 252, 距离下一级还需 148 积分
TA的每日心情难过 16:42签到天数: 11 天[LV.3]偶尔看看II
G币402 最后登录注册时间
我也是不能直接少苗 求解
在线时间0 小时经验值21 最后登录注册时间帖子阅读权限1UID
头像被屏蔽
该用户从未签到
G币0 最后登录注册时间
提示: 作者被禁止或删除 内容自动屏蔽
Powered by在模拟器微信用二维码扫描后下载的APK在那啊？ _ 有问必答 - 靠谱社区
查看: 1416|回复: 4
在模拟器微信用二维码扫描后下载的APK在那啊？
靠谱战友为靠谱的荣誉而战！靠谱达人大隐于市，哥只是个传说靠谱大师靠谱管理员喂，那边那个发广告的，过来我们聊聊交友小生Hi~美女，一起吃个饭吗？交友达人公认的高富帅，只是他的心早已属于那位朝思暮想的女神
这个我就不知道了.. 可以自己用re管理器找找
讨论1群: , 讨论2群:, 群内仅交流讨论,有问题请在有问必答发帖咨询
找到了在Download下
靠谱大师版主我是一棵小斑竹交友小生Hi~美女，一起吃个饭吗？交友达人公认的高富帅，只是他的心早已属于那位朝思暮想的女神梦中情人Ta犹如太阳降临群星之中，所有人都为之倾倒，无论男人或女人让你的APP支持微信二维码扫描下载
& 让你的APP支持微信二维码扫描下载
让你的APP支持微信二维码扫描下载
今天同事反馈公司的app无法通过的，经测试发现包括京东、淘宝的APP都无法通过，考虑可能是微信此版本的一个BUG。后测试腾讯的APP却能从微信的二维码扫描下载，才意识到这是微信的一种限制。很不理解腾讯的想法，别人看到二维码，才想到用微信的二维码功能去扫描，在此微信是实现目标的工具，而腾讯却好像担心自己的用户会流失一样，不让用户扫描除腾讯公司以外其他公司的app，这不是失去了它本身存在的意义了么。
既然是限制，考虑到腾讯会采用三种方式：
1、通过域名方式限制：最难、甚至无法破解的方式。
2、通过http头限制：几率最大的方式。
3、通过临时生成的key：难破解，但是实现成也比较高，因为腾讯产品的下载连接实在是太多了。
　下面是我对腾讯产品可以通过微信二维码扫描下载分析，解决公司app不能通过微信二维码扫描下载的过程。文中地址仅供参考，随腾讯产品的更新可能会失效，但思路不会失效。
１.　我测的可下载的腾讯产品是“手机QQ2013安卓版本”的下载，下载地址如下：
/mobileqq/2013/
http:///mobileqq/2013/
２.　链接的页面中有一个二维码，通过微信二维码扫描出来后，在微信中打开一个页面，点击页面中的“下载QQ”按钮，即会弹出微信，在浏览器打开下载链接，自动下载QQ。
３.　二维码扫描出来的页面地址：
/touch/download.html
http:///touch/download.html
４.　在Chrome中分析二维码扫描出来的页面，发现最后的真实下载地址为：
http://softfile./msoft//qq2013/qq.2.1605_android.
http://softfile./msoft/apk/qq2013/qq.2.1605_android.apk
５.　通过的curl里面，分析地址的http响应头：
#curl -L --head http://softfile./msoft/apk/qq2013/qq.2.1605_android.apk
HTTP/1.1 302 Found
Server: nws 1.2.15
Connection: close
Date: Mon, 16 Dec :55 GMT
Expires: Mon, 16 Dec :55 GMT
Cache-Control: max-age=0
Content-Length: 68
Location: http://119.167.195.61/softfile./msoft/apk/qq2013/qq.2.1605_android.apk?mkey=52aebbda2bc3d283&f=168a&p=.apk
HTTP/1.1 200 OK
Server: 3Gdown_DK
Connection: keep-alive
Date: Mon, 16 Dec :55 GMT
Cache-Control: max-age=0
Last-Modified: Thu, 24 Oct :30 GMT
Content-Type: application/vnd..package-archive
Content-Length:
X-Cache-Lookup: Hit From DiskCache
12345678910111213141516171819
#curl -L --head http://softfile./msoft/apk/qq2013/qq.2.1605_android.apkHTTP/1.1 302 FoundServer: nws 1.2.15Connection: closeDate: Mon, 16 Dec 2013 06:26:55 GMTExpires: Mon, 16 Dec 2013 06:26:55 GMTCache-Control: max-age=0Content-Length: 68Location: http://119.167.195.61/softfile./msoft/apk/qq2013/qq.2.1605_android.apk?mkey=52aebbda2bc3d283&f=168a&p=.apk&HTTP/1.1 200 OKServer: 3Gdown_DKConnection: keep-aliveDate: Mon, 16 Dec 2013 06:26:55 GMTCache-Control: max-age=0Last-Modified: Thu, 24 Oct 2013 11:22:30 GMTContent-Type: application/vnd.android.package-archiveContent-Length: X-Cache-Lookup: Hit From DiskCache
从上面的http响应头可以看出，页面最后被定向到一个IP为119.167.195.61的下载服务器，url中没有域名，所以排除了通过域名限制的可能性。url中有一个mkey，倒是有点像是通过临时key限制的。
６.　将同样的mkey参数附在公司app的下载地址后，在二位码工具中生成二维码，在微信中扫描此二维码，发现仍然不能下载，一片空白，没反应。看看mkey到像是用来统计用户下载的，所以pass掉通过临时key限制的可能性。
７.　再回头看看上面的http头中url的IP地址后面竟然带了个类似域名的"softfile."路径，莫非是通过只要url中带了“softfile.”就能通过微信扫描下载，经测试，果真如此，只要url中带有"softfile."或“”都可以通过微信二维码扫描下载，如下地址都可以：
/softfile./android.app.apk
//android.app.apk
http:///softfile./android.app.apk http:////android.app.apk
url中含有""关键词生成的二维码通过微信扫描二维码即会弹出到默认浏览器下载app:
总结：很低劣的限制方法，不过应该微信的下个版本就会改成其他方法吧
本文的评论功能被关闭了.微信扫描二维码登录网页是什么原理？
黄良懿，做做架构，写写代码
我个人开发过程一般是和产品说，『你们提业务要求、交互方式、性能要求等就好，技术方案我们会综合开发时间、系统架构等因素考虑』。
恰好我之前也花过几个小时做过类似的验证登录过程，这里作为探讨，把产品同学的回答做个引用，解释一下其中『不技术』的地方。
1. 每打开一次页面的时候会随机生成一个含有唯一 uid 的二维码，每次刷新页面都会不一样（这个可以保证一个 uid 只可以绑定一个账号和密码，如果一个 uid 可以绑定多个账号和密码，那么很可能你的电脑会登陆别人的微信哦）；
确实返回了唯一 id，但目的是为了识别用户身份，而且实际上打开这个页面的时候浏览器已经和 Server 创建了一个长连接等待确认信息。
的源码可以轻易看出来，其实这个页面加载完毕的同时，也已经把很多登录后才需要的相关资源都加载进来了，然后会开启一个长连接等待登录用户的信息。
2. 当用户使用登陆后的微信扫描该二维码的时候，会将这个 id 和手机上的微信账号及密码绑定，并上传到服务器；
先上个图：
二维码样例：
，利用我查查之类的二维码应用可以轻易得到类似这样的地址，但并不会自动打开该地址，微信实际上针对
开头的地址做了特殊处理，会自动获取相关信息并提示确认。 在手机版微信访问这个页面进行确认时，Server 已经同时获得了客户端信息，并通过之前保持的长连接告知浏览器。
3. 页面每隔 1 秒或 2 秒会 get 请求该 id 对应的微信账号及密码，如果 id 绑定上了微信账号和密码，那么就可以请求到账号和密码，就可以自动登陆了。
浏览器展示完长连接里包含的用户信息（头像等）后，会新开一个长连接等待客户端的确认操作，其 URL 类似
。从安全的角度来说，无论如何都不会让客户端获得微信帐号和密码，要知道，密码这玩意腾讯自己都不敢保存（有兴趣的同学可以自行了解下 CSDN 明文密码泄露事件），肯定是不可能返回给浏览器的。
而且从体感来看，怎么着都不可能是页面 1-2 秒 GET 请求的，实际是通过长连接，近乎实时的获得信息。 对于验证过程，Open API 一般是通过授权令牌（Token）来解决的，原理是当用户通过授权后，分配一个限定条件下的令牌（如限制本机访问、限制授权有效时间、限制同时登录设备数等），使获得授权的用户仅在有限的前提下能访问相关服务。 像计算机休眠后曾做的授权就自动收回了，这样就有效的避免了在别人电脑上（尤其是网吧）打开，但忘记关闭或退出这类安全问题了。
同时，整个授权过程的验证部分在手机端进行，有效杜绝了 PC 上泛滥的各类木马、『安全工具』的监听，大大降低了帐号被盗的风险。
整个核心过程是：浏览器获得一个临时 id，通过长连接等待客户端扫描带有此 id 的二维码后，从长连接中获得客户端上报给 server 的帐号信息进行展示，并在客户端点击确认后，获得服务器授信的令牌，进行随后的信息交互过程。 在超时、网络断开、其他设备上登录后，此前获得的令牌或丢失、或失效，有效完成了安全防护。