一.成品演示

该Demo演示的为美区账号的协议模拟（登录/注册）可以清楚地看到账号都在线没问题。
以下是完整的协议流程，其中核心流程包括：获取手机号/初始化设备环境/发码/风险报告/接码/提交验证码/设置账号初始参数/全参提取。
对该账号进行测试是否正常在线，正常显示。

二.详细流程

• 1.生成椭圆公/私钥 协议头tt-ticket-guard-public-key 没什么难度。
• 2.设备注册 获取 did odinId csrfToken encryptedWebid webIdCreatedTime等数据 作用是每次模拟加载的都是服务器下发的最新数据。
• 3.本地算法生成fp 这个和验证码关联，移动端是did iid 以及还有验证码相关的配置数据detail等（注册登录的过程中可能会出现验证码。字段h5_sdk_version表示验证码当前的版本，其中web端最新版是2.33.13，移动端商品验证码是3.0.48）。
• 4.风险上报，处于安全我们还是需要模拟下这个接口/web/report 提交的数据主要是本地浏览器的环境，正常返回: {'maigc': 538051346, 'version': 1, 'dataType': 8} 需要注意的是该接口基本设计到web端的全套算法：X_Bogus X_Gnarly strData X-Mssdk-Info，mssdk也是提交一些环境信息，navigator window document webgl gpu plugins等信息，所以模拟的时候需要严格注意，这个参数也是有检测的。响应头返回的msToken即可使用，不会频繁。
  
• 5.接码接口/passport/web/send_code 提交参数手机号 需要xor算法 这个系列的算法都一样，后续提交一些参数都是需要进行加密的。该接口提交有几种情况：（1）发码成功 （2）空值，手机号问题 （3）超过最大次数 显示频繁 更换IP （4）验证码 /captcha/get /captcha/verify 两次请求即可过掉，状态码code=200即成功，code=500即失败 其中新增了参数edata的加解密来保护数据，这个难度一般，直接搞定了。
• 6.接码成功，获取验证码 准备提交接口/passport/web/sms_login_only/进行登录。该接口提交有几种情况：（1）已注册的账号，直接登录成功可提取参数保存。该账号可能已经封禁暂时无法二次登录，二次验证码App端继续登录（2）用户不存在，接下来进行账号注册流程设置账号年龄信息，继续构造参数提交接口/passport/web/sms_login_continue/ 这里会提交之前返回的sms_code_key（用户不存在接口返回）该接口如果提交成功即可继续提取全参。接着可以继续设置账密，接口/api/uniqueid/check/检测提交的用户名是否合法，接口也会提示推荐用户名 对应字段recommended_unique_ids，继续设置密码 加密好数据后直接提交接口/passport/web/account/set/即可完成账密的设置，后续可以通过账密进行登录了。

以上即是web端的注册全流程以及可能会出现的一些情况说明，仅供学习参考！

三.文章结尾

有需要进一步交流的大佬们可以留言联系，后续我可能也会更新一些风控相关的东西，当然仅供学习参考。如：移动端验证码的风控策略，如何稳定持久的通过验证码解决掉风控及版本更新方案，各地区小店商品采集策略，设备注册相关的分享。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！