我正在尝试对一些移动应用程序的 API 进行逆向工程,以便从中提取数据。我注意到某些应用程序具有授权标头,我认为这些标头与应用程序本身相关联,因为我没有以任何方式登录到该应用程序。
我想知道在我的 python 抓取器上使用这些授权密钥是否存在风险,如果存在,风险是什么。我认为最大的风险是某种速率限制,以防止此应用程序在短时间内发出太多请求,但我不确定。有人会知道吗?我会惹上麻烦吗?我的假设是,鉴于我没有登录,在应用程序上,他们真的无法将身份验证密钥绑定到我的个人,因为请求中的其他信息都不是个人信息。我在这方面是正确的吗? 当然,理想情况下我想创建一个虚拟身份验证密钥来避免任何这种情况,但我不知道该怎么做。
例如,我尝试进行逆向工程的应用程序之一在其标头请求中使用了“Ocp-Apim-Subscription-Key”,但同样,我没有登录,所以我假设它直接链接到应用程序但不是我的账户。我可以在我的抓取工具中使用那个密钥吗?会发生什么?或者,有没有办法创建一个可以工作的虚拟/虚拟密钥?
另一个此类应用程序在其标头中使用“Authorization Bearer XXXXXX”。有没有办法创建一个虚拟的或者我可以使用我在 Charles Proxy 上看到的那个?
最后,我也在尝试一个向 AWS GraphQL 发出 api 请求的应用程序。我在 Charles Proxy 中看到以下与 AMZ 相关的参数: “授权”、“X-amz-date”、“x-amz-security-token”、“x-dynatrace”
有没有办法为所有四个参数创建虚拟变量?我知道这个特定的应用程序有一个 5 分钟的窗口,所以如果我想抓取这个特定的 API,我真的需要创建虚拟标头。
感谢任何指导