这里以登陆请求为例子（适用于其他请求，例如登陆后，维持登陆态，发出的请求），可以看到，当浏览器发出HTTP请求的时候，HTTP的body需要三个重要的参数，clientGuid, clientTimestamp和sign，这三个参数通俗来说clientGuid是一个唯一标识符，可以理解成一个基本不会重复的字符串，clientTimestamp是当前时间戳，以秒为单位，sign其实是签名，具体的生成规则，如下面解析。
Js相关的代码如下，未来会提交的github



那有同学会问，这有啥作用，其实，很简单，假设我们需要用程序模拟登陆的话，我们带上账号，密码就完事了，当然，为了避免对方检测，我们需要消除掉爬虫的指纹，简单来说就是模仿得更像人，相关知识会在后面讲解，有兴趣的同学，可以先观察一下我们发送请求时的HTTP Header，带有哪些信息，可以尤其关注header中referer和user agent的值

其实这里，如果查询开发者如果没有对登陆接口做限流保护，那就很危险了。假设攻击者可以顺便伪造用户名和密码，以及通过上面的JS程序生成clientGuid, clientTimestamp和sign，就可以不停的访问查询开发者的数据库，这就很容易把查询开发者的数据库打崩。目前，观察到，查询开发者在前面加入了ngnix，该软件其实是可以进行限流的。在nignix的后面，就需要看查询的开发同学，是否还挡了一层redis（内存数据库）做缓存了。

后面，每天都会更新一部分心得，供大家学习研究。

好家伙

方向错了…

大佬，插眼

学习一哈

行不通啊大佬