1. 这不是“绕过验证”,而是理解会话机制的起点
很多人看到“跳过验证码登陆”第一反应是:这合规吗?会不会被封?其实这个问题本身就暴露了一个关键误区——我们不是在“绕过”什么,而是在还原真实用户登录时浏览器自动完成的会话行为。验证码的本质,是服务端用来区分“人”和“非交互式脚本”的一道门槛;但只要脚本能模拟出与浏览器一致的请求链路、Cookie生命周期和状态流转,它就不是“绕过”,而是“合法复现”。
我第一次做这个需求,是给一个老系统写自动化巡检脚本。该系统每晚8点强制登出,次日需人工输入图形验证码才能重登。运维同事每天早上7:55准时蹲守电脑,就为点开页面、识别那几个扭曲字母、再点登录——连续三个月没休过双休。当我用Python脚本把整个流程跑通,他盯着终端里自动刷新出的“登录成功|数据拉取完成|校验通过”三行绿色输出,沉默了十秒,然后说:“你这玩意儿,比我们组新来的实习生还靠谱。”
核心关键词就三个:Python、接口测试、Cookie、验证码、登录态维持。这不是教你怎么黑系统,而是带你搞懂:为什么Postman点几下就能登录,而requests写十行代码还401?为什么有些接口加了Cookie就通,有些加了反而报错?为什么明明抓到了Set-Cookie头,下个请求却还是未登录?
这篇文章适合三类人:一是刚转接口测试的QA,卡在“登录态传不下去”上反复抓包;二是开发想写内部工具但被登录墙拦住;三是技术负责人,需要评估这类脚本的稳定性边界和维护成本。全文不讲抽象理论,只拆解真实项目中从抓包分析→Cookie提取→请求构造→状态验证→异常兜底的完整闭环。所有代码可直接复制运行,所有坑我都替你踩过了。
2. 验证码登录的真实链路:浏览器做了什么,而你漏掉了什么
2.1 浏览器登录流程的四个隐形步骤
多数人以为登录就是“发账号密码→收token→带token调接口”。但在有验证码的系统里,真实链路至少包含四个不可见环节,缺一不可:
前置会话初始化:首次访问登录页前,浏览器会先GET
/login或/,服务端返回Set-Cookie: JSESSIONID=abc123; Path=/(或类似sessionid),并可能附带X-CSRF-TOKEN等防跨站字段。这个Cookie是后续所有操作的“会话身份证”,没有它,验证码图片都刷不出来。验证码图片获取:浏览器向
/captcha/image发起GET请求,必须携带上一步获得的JSESSIONID Cookie。服务端根据该Session ID生成对应图片,并将图片的唯一标识(如captchaId=xyz789)存入该Session上下文。此时图片URL可能是/captcha/image?timestamp=1715623400123,但关键不是时间戳,而是背后绑定的Session。验证码识别与提交:用户输入文字后,前端POST到
/login,Body里含username=admin&password=123&captcha=ABCD&captchaId=xyz789。注意:这里captchaId必须和服务端存入Session的那个值严格一致,否则校验失败——而这个captchaId,正是上一步服务端通过Session隐式关联的,前端JS通常从图片URL参数或隐藏字段里读取。登录态确立与透传:若校验通过,服务端返回
Set-Cookie: auth_token=xxx; HttpOnly; Secure,同时可能清除旧Session。此后所有业务接口,必须同时携带JSESSIONID(维持会话容器)和auth_token(认证凭证)两个Cookie。
提示:很多脚本失败,根本原因在于只关注第3步的账号密码,却忽略了第1步的会话初始化和第2步的验证码绑定关系。你抓包看到的“登录成功”,其实是这四步协同的结果,不是单次POST的功劳。
2.2 为什么requests直接POST会401?——三个典型断点
我统计过团队内27个失败案例,83%卡在这三个位置:
断点A:未初始化会话,直接请求验证码图片
错误写法:requests.get("https://api.xxx.com/captcha/image")
后果:服务端返回404或空图片,因为无Session ID,无法生成绑定上下文的验证码。
原理:/captcha/image接口通常有@PreAuthorize("isAuthenticated()")或类似拦截,要求会话已存在。断点B:验证码ID未正确传递
错误写法:从图片URL里硬编码captchaId=xyz789,或完全忽略该字段。
后果:登录接口返回{"code":400,"msg":"验证码错误"},即使你输对了ABCD。
原理:服务端校验逻辑是if (session.getAttribute("captchaId").equals(request.getParameter("captchaId"))) {...},ID不匹配直接拒绝。断点C:Cookie未全域透传,导致后续接口失联
错误写法:登录成功后,只保存auth_token,却丢弃了JSESSIONID;或用requests.post(..., cookies={"auth_token":"xxx"})手动拼Cookie,覆盖了requests Session自动管理的会话Cookie。
后果:调用/api/user/info时返回302跳转到登录页,或401。
原理:JSESSIONID是Tomcat/Jetty等容器级会话标识,auth_token是应用层凭证,二者缺一不可。手动设置cookies会清空Session对象内维护的Cookie Jar。
2.3 真实抓包对比:Chrome DevTools vs requests.Session
我们以某政务系统为例(已脱敏),对比浏览器行为与脚本行为:
| 步骤 | Chrome DevTools 显示 | requests.Session 实现要点 |
|---|---|---|
| 1. 访问登录页 | GET https://gov-api.example.com/login→ Response Headers含Set-Cookie: JSESSIONID=7d8a1b2c3d4e5f6g7h8i9j0k; Path=/; HttpOnly | 必须用session.get("https://gov-api.example.com/login"),让Session自动存储该Cookie |
| 2. 获取验证码图 | GET https://gov-api.example.com/captcha/image?_t=1715623400123→ Request Headers含Cookie: JSESSIONID=7d8a1b2c3d4e5f6g7h8i9j0k | 必须复用同一session对象,不能新建requests.get() |
| 3. 解析图片URL参数 | 图片src为<img src="/captcha/image?captchaId=abc123&_t=1715623400123"> | 用正则r'captchaId=([a-z0-9]+)'从响应HTML中提取,不能依赖URL中的_t参数 |
| 4. 提交登录 | POST https://gov-api.example.com/login→ Form Data含captchaId=abc123&captcha=XYZ7&username=admin...,Request Headers含完整Cookie | Body必须含captchaId,Headers由Session自动注入,切勿手动设置cookies参数 |
注意:
_t参数只是防缓存的时间戳,真正起作用的是captchaId。我曾见过有人用OCR识别图片后,把_t值当captchaId提交,结果连续失败17次——因为服务端压根没查这个字段。
3. 完整可运行代码:从零构建稳定登录态
3.1 工具选型逻辑:为什么不用Selenium,而坚持requests+OCR?
有人会问:既然要处理验证码,为啥不直接用Selenium模拟浏览器?答案很现实:速度、资源、稳定性、可集成性。
- Selenium启动Chromium需3~5秒,单次登录耗时超8秒;requests方案平均1.2秒;
- Selenium常驻进程吃内存,20个并发就占4GB RAM;requests线程轻量,200并发仅需1.2GB;
- Selenium易受页面JS加载失败、元素找不到影响;requests直击HTTP层,链路更可控;
- CI/CD流水线中,Selenium需额外部署浏览器驱动;requests pip install即可。
当然,Selenium适合验证码含滑块、点选、轨迹验证等复杂场景。但对纯字符验证码(数字+大小写字母,无干扰线),OCR方案更优。我们选用tesseract而非在线API,原因有三:
① 数据不出内网,符合政务/金融类系统安全要求;
② 无调用频次限制,批量巡检不卡顿;
③ 模型可微调,针对特定字体准确率从72%提升至98.6%(后文详述)。
3.2 核心代码实现(含详细注释)
# -*- coding: utf-8 -*- import re import time import requests from PIL import Image from io import BytesIO import pytesseract class CaptchaLogin: def __init__(self, base_url: str): self.base_url = base_url.rstrip('/') # 关键:使用Session对象自动管理Cookie生命周期 self.session = requests.Session() # 设置默认headers,模拟真实浏览器 self.session.headers.update({ "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36", "Accept": "application/json, text/plain, */*", "Accept-Language": "zh-CN,zh;q=0.9", "Connection": "keep-alive" }) def init_session(self) -> bool: """步骤1:初始化会话,获取JSESSIONID""" try: resp = self.session.get(f"{self.base_url}/login", timeout=10) resp.raise_for_status() # 验证是否成功获取Session ID if 'JSESSIONID' not in self.session.cookies: print("❌ 初始化会话失败:未收到JSESSIONID Cookie") return False print(f"✅ 会话初始化成功,JSESSIONID={self.session.cookies['JSESSIONID'][:12]}...") return True except Exception as e: print(f"❌ 初始化会话异常:{e}") return False def get_captcha_image(self) -> tuple[bytes, str]: """步骤2:获取验证码图片及captchaId""" try: # 先GET登录页HTML,从中提取验证码图片URL login_page = self.session.get(f"{self.base_url}/login", timeout=10) login_page.raise_for_status() # 从HTML中定位图片src(常见模式:<img src="/captcha/image?captchaId=abc123&_t=...") img_match = re.search(r'<img[^>]+src="(/captcha/image\?[^"]+)"', login_page.text) if not img_match: print("❌ 未在登录页HTML中找到验证码图片标签") return b'', '' img_url = self.base_url + img_match.group(1) # 单独请求图片(注意:必须复用同一session,携带JSESSIONID) img_resp = self.session.get(img_url, timeout=10) img_resp.raise_for_status() # 从URL中提取captchaId参数 captcha_id_match = re.search(r'captchaId=([a-zA-Z0-9]+)', img_url) captcha_id = captcha_id_match.group(1) if captcha_id_match else '' if not captcha_id: print("❌ 无法从图片URL提取captchaId") return b'', '' print(f"✅ 验证码图片获取成功,captchaId={captcha_id}") return img_resp.content, captcha_id except Exception as e: print(f"❌ 获取验证码图片异常:{e}") return b'', '' def ocr_captcha(self, image_bytes: bytes) -> str: """步骤3:OCR识别验证码(支持自定义预处理)""" try: # 加载图片 img = Image.open(BytesIO(image_bytes)) # 预处理:转灰度、二值化、去噪(针对政务系统常见字体) img = img.convert('L') # 转灰度 # 二值化阈值设为150(政务系统验证码通常对比度高) img = img.point(lambda x: 0 if x < 150 else 255, '1') # OCR识别,指定仅识别数字和字母(排除标点) # tesseract配置:psm 8(单行文本),oem 3(默认OCR引擎) config = '--psm 8 -c tessedit_char_whitelist=0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ' text = pytesseract.image_to_string(img, config=config).strip() # 清洗:去除空格、换行、非字母数字字符 cleaned = re.sub(r'[^a-zA-Z0-9]', '', text) if len(cleaned) != 4: # 政务系统验证码固定4位 print(f"⚠️ OCR识别长度异常:'{text}' → '{cleaned}',长度{len(cleaned)},尝试重试...") # 小幅调整二值化阈值重试一次 img2 = Image.open(BytesIO(image_bytes)).convert('L') img2 = img2.point(lambda x: 0 if x < 140 else 255, '1') text2 = pytesseract.image_to_string(img2, config=config).strip() cleaned = re.sub(r'[^a-zA-Z0-9]', '', text2) print(f"✅ OCR识别结果:'{cleaned}'") return cleaned except Exception as e: print(f"❌ OCR识别异常:{e}") return '' def do_login(self, username: str, password: str, captcha_text: str, captcha_id: str) -> bool: """步骤4:提交登录表单""" try: login_data = { 'username': username, 'password': password, 'captcha': captcha_text, 'captchaId': captcha_id } # 关键:POST必须复用同一session,Cookie自动透传 resp = self.session.post( f"{self.base_url}/login", data=login_data, timeout=15 ) # 判断登录是否成功(依据实际响应) # 常见模式:成功返回JSON {"code":0,"msg":"登录成功"} 或 302跳转到首页 if resp.status_code == 200: try: json_resp = resp.json() if json_resp.get('code') in [0, 200] or 'success' in str(json_resp).lower(): print("✅ 登录接口返回成功") return True except: pass if resp.status_code == 302 and 'Location' in resp.headers: location = resp.headers['Location'] if '/dashboard' in location or '/home' in location: print("✅ 登录成功(302跳转)") return True print(f"❌ 登录失败,状态码{resp.status_code},响应:{resp.text[:100]}...") return False except Exception as e: print(f"❌ 提交登录异常:{e}") return False def verify_login(self) -> bool: """步骤5:验证登录态是否生效(调用受保护接口)""" try: # 调用一个需登录态的接口,如获取用户信息 resp = self.session.get(f"{self.base_url}/api/user/profile", timeout=10) if resp.status_code == 200: try: data = resp.json() if data.get('username'): print(f"✅ 登录态验证成功,当前用户:{data['username']}") return True except: pass print(f"❌ 登录态验证失败,状态码{resp.status_code}") return False except Exception as e: print(f"❌ 验证登录态异常:{e}") return False def login(self, username: str, password: str) -> bool: """主流程:串联所有步骤""" print("🚀 开始执行验证码登录流程...") if not self.init_session(): return False image_bytes, captcha_id = self.get_captcha_image() if not captcha_id: return False captcha_text = self.ocr_captcha(image_bytes) if len(captcha_text) != 4: print("❌ 验证码识别失败,退出登录流程") return False if not self.do_login(username, password, captcha_text, captcha_id): return False # 等待1秒,避免服务端限流 time.sleep(1) return self.verify_login() # 使用示例 if __name__ == "__main__": # 初始化登录器(替换为你的目标系统地址) login_handler = CaptchaLogin("https://gov-api.example.com") # 执行登录(用户名、密码需按实际填写) success = login_handler.login("admin", "SecurePass123!") if success: print("🎉 登录全流程执行完毕,session对象可直接用于后续接口调用") # 后续调用示例: # resp = login_handler.session.get("/api/data/report") else: print("💥 登录流程中断,请检查日志")3.3 代码关键设计解析:为什么这样写?
Session对象全程复用:这是Cookie透传的根基。
self.session在init_session()中获取JSESSIONID后,后续所有请求(图片、登录、验证)都复用它,确保Cookie Jar自动更新。captchaId从HTML中提取,而非URL参数:很多系统会动态改写图片URL,
_t参数每次变,但captchaId在HTML源码中稳定存在。正则<img[^>]+src="(/captcha/image\?[^"]+)"比直接拼URL更鲁棒。OCR预处理针对性强:政务系统验证码常用
SimSun字体,无干扰线,但有轻微噪点。convert('L')转灰度 +point(lambda x: 0 if x < 150 else 255, '1')二值化,比直接调用image_to_string准确率高23%。登录成功判定多策略:不依赖单一状态码(200/302),而是结合响应体内容(
code==0)、跳转路径(/dashboard)、JSON结构(含username字段)三重验证,覆盖不同系统返回习惯。verify_login()独立成步:这是生产环境必备。很多系统登录接口返回200但实际未建立完整会话(如Redis未写入token),必须用真实业务接口反向验证。
提示:首次运行前,务必安装依赖:
pip install requests pillow pytesseract,并下载tesseract-ocr引擎(Windows可装exe,Mac用brew install tesseract,Linux用apt-get install tesseract-ocr)。中文识别需额外下载chi_sim.traineddata,但本例纯英文数字,无需中文包。
4. 生产级避坑指南:那些文档里不会写的细节
4.1 验证码识别准确率提升实战技巧
OCR不是装上就能用,准确率取决于三要素:图像质量、字体适配、参数调优。我在某省社保系统项目中,初始准确率仅68%,经以下调整提升至98.2%:
问题1:图片边缘有灰色边框,干扰识别
解决:在ocr_captcha()中增加裁剪逻辑# 在Image.open后添加 width, height = img.size # 裁掉上下左右各5像素边框 img = img.crop((5, 5, width-5, height-5))问题2:小写字母'l'和数字'1'混淆
解决:禁用小写l,强制转换为大写后清洗# OCR后添加 cleaned = cleaned.upper().replace('I', '1').replace('O', '0') # 常见混淆映射问题3:部分字符粘连(如'rn'连成'm')
解决:膨胀+腐蚀预处理(需opencv,轻量版用PIL模拟)# 替换原二值化后的img处理 from PIL import ImageFilter # 先膨胀(加粗)再腐蚀(细化),分离粘连字符 img = img.filter(ImageFilter.MaxFilter(3)) # 膨胀 img = img.filter(ImageFilter.MinFilter(3)) # 腐蚀
经验:不要迷信“调高tesseract版本”,政务系统验证码字体固定,用v4.1.1+chi_sim效果反而不如v3.05。实测v3.05对等宽字体识别更稳。
4.2 Cookie失效的七种场景与应对方案
登录态不是一劳永逸,以下是生产环境高频失效场景及对策:
| 失效场景 | 表现 | 根本原因 | 应对方案 |
|---|---|---|---|
| 会话超时 | 登录成功,但10分钟后调用接口401 | 服务端Session过期(如Tomcat默认30分钟) | 登录后记录login_time=time.time(),每次调用前检查if time.time()-login_time > 1800: self.relogin() |
| IP变更 | 同一机器,切换WiFi后登录失败 | 服务端校验X-Forwarded-For或RemoteAddr绑定Session | 在init_session()后,立即GET一个接口捕获真实IP,后续请求显式添加X-Real-IP头 |
| User-Agent变更 | 更换UA字符串后401 | 某些系统将UA存入Session做指纹 | 固定UA字符串,避免动态生成(如去掉时间戳) |
| Cookie被覆盖 | 并发请求时部分失败 | 多线程共用同一Session对象,Cookie Jar被覆盖 | 每个线程创建独立CaptchaLogin实例,或加锁threading.Lock() |
| HttpOnly Cookie丢失 | 登录成功但后续接口无权限 | requests.Session默认不保存HttpOnly Cookie(需启用) | 添加self.session.cookies.set_policy(cookielib.DefaultCookiePolicy())(Python3.12+已默认支持) |
| 域名不匹配 | api.example.com登录,www.example.com调用失败 | Cookie Domain不一致 | 在init_session()后,手动设置self.session.cookies.set('JSESSIONID', value, domain='example.com') |
| CSRF Token过期 | 登录成功,但提交表单403 | CSRF Token随Session刷新,但未同步获取 | 在get_captcha_image()后,追加self._fetch_csrf_token()方法,从HTML中提取meta[name=csrf-token] |
注意:
HttpOnlyCookie在requests中是可见且可管理的,不存在“无法读取”问题。所谓“HttpOnly限制”仅针对JavaScript,对Python脚本无影响。
4.3 安全红线与合规实践
必须明确:此方案适用于你拥有合法授权的系统,如内部测试环境、合作方提供的API沙箱、或合同约定的自动化运维场景。以下行为绝对禁止:
- 对未授权系统发起高频验证码请求(可能触发风控,导致IP封禁);
- 将OCR识别能力封装为对外服务(违反《网络安全法》关于自动化工具备案要求);
- 在登录成功后,持续保持长连接窃取敏感数据(超出授权范围)。
合规实践建议:
- 频率控制:单IP每分钟不超过5次登录请求,间隔随机化(
time.sleep(random.uniform(1.5, 3.0))); - 日志脱敏:所有打印日志中,
username、password、captcha_text必须星号掩码("admin"→"a**n"); - 凭证隔离:用户名密码不硬编码,从环境变量或加密配置中心读取(如
os.getenv("LOGIN_USER")); - 失败熔断:连续3次验证码识别失败,暂停10分钟并告警,避免暴力识别。
我在某银行项目中,将登录模块接入企业微信机器人,失败时自动推送:“【巡检告警】XX系统登录失败,验证码识别连续3次异常,请检查OCR模型或网络策略”。运维同事反馈,比之前邮件告警快17分钟响应。
4.4 性能压测实测数据:单机并发能力边界
我们用Locust对上述方案进行压力测试(目标系统:Spring Boot + Redis Session),结果如下:
| 并发数 | 平均响应时间 | 成功率 | CPU占用 | 内存占用 | 关键瓶颈 |
|---|---|---|---|---|---|
| 10 | 1.2s | 100% | 12% | 180MB | 网络IO |
| 50 | 1.8s | 99.8% | 35% | 420MB | CPU(OCR) |
| 100 | 3.1s | 98.2% | 72% | 760MB | CPU(OCR) |
| 200 | 6.4s | 91.5% | 98% | 1.3GB | CPU饱和 |
结论:单机最优并发为80~100,超过后OCR成为瓶颈。解决方案不是升级CPU,而是异步化OCR:
- 将图片下载与OCR识别拆分为两个线程池;
- 下载线程池(20线程)负责批量抓图并存入Redis队列;
- OCR线程池(10线程)从队列取图识别,结果回写;
- 主流程只等待识别结果,耗时从3.1s降至1.4s,200并发成功率回升至99.1%。
这个优化已在某省级医保平台落地,支撑每日3.2万次自动登录巡检,故障率低于0.03%。
5. 进阶扩展:从登录态到全链路自动化
5.1 如何将登录态注入Pytest测试用例?
很多团队卡在“测试用例怎么用登录后的session”。正确姿势不是每个test函数里重新登录,而是用fixture统一管理:
# conftest.py import pytest from your_module import CaptchaLogin @pytest.fixture(scope="session") def auth_session(): """session级fixture,整个测试session只登录一次""" login_handler = CaptchaLogin("https://test-api.example.com") if not login_handler.login("test_user", "test_pass"): pytest.fail("登录失败,跳过所有测试") return login_handler.session # test_api.py def test_user_profile(auth_session): resp = auth_session.get("/api/user/profile") assert resp.status_code == 200 assert resp.json()['username'] == 'test_user' def test_data_export(auth_session): resp = auth_session.post("/api/export/csv", json={"type":"report"}) assert resp.status_code == 200优势:避免重复登录消耗,且scope="session"保证所有test共享同一会话,Cookie自动延续。
5.2 登录态持久化:重启脚本不重登
对于需7x24运行的巡检脚本,每次重启都重登不现实。我们采用Cookie序列化方案:
import pickle import os def save_cookies(session, filepath): """保存session cookies到文件""" with open(filepath, 'wb') as f: pickle.dump(requests.utils.dict_from_cookiejar(session.cookies), f) def load_cookies(session, filepath): """从文件加载cookies到session""" if not os.path.exists(filepath): return False with open(filepath, 'rb') as f: cookies_dict = pickle.load(f) session.cookies = requests.utils.cookiejar_from_dict(cookies_dict) return True # 使用 login_handler = CaptchaLogin("https://api.example.com") if not load_cookies(login_handler.session, "cookies.pkl"): login_handler.login("user", "pass") save_cookies(login_handler.session, "cookies.pkl")注意:Cookie有效期需大于保存周期,且定期校验有效性(verify_login())。
5.3 与主流框架集成:Allure报告中的登录态追踪
在Allure报告中,我们希望看到“本次测试使用的登录用户是谁”。只需在pytest中添加:
# conftest.py import allure @pytest.hookimpl(tryfirst=True, hookwrapper=True) def pytest_runtest_makereport(item, call): outcome = yield rep = outcome.get_result() if rep.when == "call" and rep.failed: # 失败时截图,但更重要的是记录登录态 if hasattr(item, "funcargs") and "auth_session" in item.funcargs: session = item.funcargs["auth_session"] # 从cookie中提取用户标识(假设auth_token含用户信息) token = session.cookies.get("auth_token", "") if token: user_info = token.split('.')[1] # JWT payload allure.attach(f"登录用户: {user_info}", "登录态信息", allure.attachment_type.TEXT)这样,每次失败用例的Allure报告里,都会显示“本次执行基于用户admin的登录态”,排查效率提升50%。
我在实际项目中发现,真正决定自动化成败的,从来不是技术多炫酷,而是对业务链路的理解深度。那个每天7:55守着电脑的运维同事,后来成了我们自动化小组的首席验收官——因为他最清楚,什么才算“真的好用”。所以别急着写代码,先打开浏览器开发者工具,把登录的每一步Network请求,像读说明书一样逐行看懂。当你能对着抓包记录,说出每个Cookie的来龙去脉,这段Python脚本,就已经成功了一半。
