我需要解析由ADFS服务隐藏的站点。
并努力进行身份验证。
有没有选择进入?
我能看到的,大多数后端应用程序的解决方案,或“系统用户”(使用app_id,app_secret)。在我的情况下,我不能使用它,只有登录名和密码。
问题的例子:在chrome
我打开www.example.com
并将它重定向到https://login.microsoftonline.com/
,然后用登录名和密码形式重定向到https://federation-sts.example.com/adfs/ls/?blabla
。
以及如何使用python3
访问它?
ADFS使用复杂的重定向和CSRF保护技术。因此,最好使用浏览器自动化工具来执行身份验证并在之后解析网页。我推荐使用python绑定的selenium
toolkit。这是一个工作示例:
from selenium import webdriver
def MS_login(usrname, passwd): # call this with username and password
driver = webdriver.Edge() # change to your browser (supporting Firefox, Chrome, ...)
driver.delete_all_cookies() # clean up the prior login sessions
driver.get('https://login.microsoftonline.com/') # change the url to your website
time.sleep(5) # wait for redirection and rendering
driver.find_element_by_xpath("//input[@name='loginfmt'").send_keys(usrname)
driver.find_element_by_xpath("//input[@type='submit']").click()
time.sleep(5)
driver.find_element_by_xpath("//input[@name='passwd'").send_keys(passwd)
driver.find_element_by_xpath("//input[@name='KMSI' and @type='checkbox'").click()
driver.find_element_by_xpath("//input[@type='submit']").click()
time.sleep(5)
driver.find_element_by_xpath("//input[@type='submit']").click()
# Successfully login
# parse the site ...
driver.close() # close the browser
return driver
此脚本调用Microsoft Edge以打开该网站。它将用户名和密码注入正确的DOM元素,然后让浏览器处理其余的元素和密码。它已在网页“https://login.microsoftonline.com”上测试过。您可能需要对其进行修改以适合您的网站。
回答你的问题“如何使用python”我假设您希望在由Azure AD身份验证保护的页面上执行一些Web报废操作。
在这种情况下,您必须执行以下步骤。
1)对于此脚本,我们只需要导入以下内容:
import requests
from lxml import html
首先,我们想创建会话对象。此对象将允许我们在所有请求中保留登录会话。
session_requests = requests.session()
其次,我们想从网页中提取csrf令牌,在登录时使用此令牌。对于此示例,我们使用lxml和xpath,我们可以使用正则表达式或任何其他方法来提取此数据。
login_url = "https://bitbucket.org/account/signin/?next=/"
result = session_requests.get(login_url)
tree = html.fromstring(result.text)
authenticity_token = list(set(tree.xpath("//input[@name='csrfmiddlewaretoken']/@value")))[0]
接下来,我们想要执行登录阶段。在此阶段,我们向登录URL发送POST请求。我们使用在上一步中创建的有效负载作为数据。我们还为请求使用标头,并为同一个url添加一个referer键。
result = session_requests.post(
login_url,
data = payload,
headers = dict(referer=login_url)
)
Payload将是用户名和密码等的字典对象。
payload = {
"username": "<USER NAME>",
"password": "<PASSWORD>",
"csrfmiddlewaretoken": "<CSRF_TOKEN>"
}
注意: - 这只是一个例子。
第2步:
刮内容
现在,我们能够成功登录,我们将执行实际的抓取
url = 'https://bitbucket.org/dashboard/overview'
result = session_requests.get(
url,
headers = dict(referer = url)
)
换句话说,您需要从Azure AD获取请求详细信息负载,然后使用登录方法创建会话对象,然后最终执行报废。
这是Web抓取安全网站的一个很好的例子。
希望能帮助到你。