我需要解析被 ADFS 服务隐藏的站点。
并努力对其进行身份验证。
有什么选择吗?
我可以看到,后端应用程序或“系统用户”(使用 app_id、app_secret)的大多数解决方案。 就我而言,我不能使用它,只有登录名和密码。
问题示例:
在chrome 我打开www.example.com,它会将我重定向到https://login.microsoftonline.com/,然后使用登录名和密码表单重定向到https://federation-sts.example.com/adfs/ls/?blabla。
以及如何使用python3 访问它?
【问题讨论】:
ADFS 使用复杂的重定向和 CSRF 保护技术。因此,最好使用浏览器自动化工具来执行身份验证并在之后解析网页。我推荐带有 python 绑定的selenium toolkit。这是一个工作示例:
from selenium import webdriver
def MS_login(usrname, passwd): # call this with username and password
driver = webdriver.Edge() # change to your browser (supporting Firefox, Chrome, ...)
driver.delete_all_cookies() # clean up the prior login sessions
driver.get('https://login.microsoftonline.com/') # change the url to your website
time.sleep(5) # wait for redirection and rendering
driver.find_element_by_xpath("//input[@name='loginfmt'").send_keys(usrname)
driver.find_element_by_xpath("//input[@type='submit']").click()
time.sleep(5)
driver.find_element_by_xpath("//input[@name='passwd'").send_keys(passwd)
driver.find_element_by_xpath("//input[@name='KMSI' and @type='checkbox'").click()
driver.find_element_by_xpath("//input[@type='submit']").click()
time.sleep(5)
driver.find_element_by_xpath("//input[@type='submit']").click()
# Successfully login
# parse the site ...
driver.close() # close the browser
return driver
此脚本调用 Microsoft Edge 打开网站。它将用户名和密码注入正确的 DOM 元素,然后让浏览器处理其余部分。已经在网页“https://login.microsoftonline.com”上进行了测试。您可能需要对其进行修改以适合您的网站。
【讨论】:
为了回答您的问题“如何使用 python”,我假设您希望在受 Azure AD 身份验证保护的页面上执行一些网络抓取操作。
在这种情况下,您必须执行以下步骤。
对于这个脚本,我们只需要导入以下内容:
导入请求 从 lxml 导入 html
首先,我们要创建会话对象。该对象将允许我们在所有请求中保持登录会话。
session_requests = requests.session()
其次,我们想从网页中提取 csrf 令牌,这个令牌在登录时使用。对于这个示例,我们使用 lxml 和 xpath,我们可以使用正则表达式或任何其他可以提取此数据的方法。
login_url = "https://bitbucket.org/account/signin/?next=/"
result = session_requests.get(login_url)
tree = html.fromstring(result.text)
authenticity_token = list(set(tree.xpath("//input[@name='csrfmiddlewaretoken']/@value")))[0]
接下来,我们要执行登录阶段。在这个阶段,我们向登录 url 发送一个 POST 请求。我们使用在上一步中创建的有效负载作为数据。我们还为请求使用了一个标头,并为相同的 url 添加了一个referer key。
result = session_requests.post(
login_url,
data = payload,
headers = dict(referer=login_url)
)
有效负载将是用户名和密码等的字典对象。
payload = {
"username": "<USER NAME>",
"password": "<PASSWORD>",
"csrfmiddlewaretoken": "<CSRF_TOKEN>"
}
注意:-这只是一个例子。
第 2 步:
抓取内容
现在,我们能够成功登录,我们将执行实际的抓取
url = 'https://bitbucket.org/dashboard/overview'
result = session_requests.get(
url,
headers = dict(referer = url)
)
也就是说,您需要从 Azure AD 获取请求详细信息有效负载,然后使用 login 方法创建会话对象,最后进行抓取。
这是一个很好的安全网站网络抓取示例。
希望对你有帮助。
【讨论】:
https://login.microsoftonline.com/e0793d39-0939-496d-b129-198edd916feb/wsfed?blabla,其中 e0793d39-0939-496d-b129-198edd916feb 生成每个请求。接下来它再次重定向到 https://federation-sts.example.com/adfs/ls/blabla... 是否可以询问需要的页面,并获得最终页面,在哪里询问登录名和密码?或者我需要知道那个网址?
token... 但我不能确定需要什么。有没有解决方案,抓住所有并将其全部传递给请求的资源?