icyux / bili-auth Goto Github PK

注意到当前项目使用sqlite3作为数据库，并且在main.py中写死了
实际上我希望数据库的连接希望可以在config.toml中定义

如题，希望可以有Dockerfile，并且通过github action push到 docker hub，如果可以的话，我可以提供PR来添加这个功能

哔哩哔哩鉴权使用的是 Cookie 中的 SESSDATA 字段，其中含有一个数字大概率是 Unix 时间戳。最近发现， Cookie 失效时间远远早于此时间戳规定的有效期（约半年）。

在抓取登录请求时发现 API 返回了一个名为 refresh_token 的字段，由此推测是近期更改了鉴权机制设计，SESSDATA 作为临时 Token，使用 refresh_token 作为刷新令牌。

后续考虑研究 refresh_token 机制并且在 bili-auth 中模拟，以避免令牌失效。

display browser and OS info extracted from user-agent.

在鉴权流程中隐藏右上角的登录按钮，尤其是移动端，以免误触后给用户带来困惑。

一年前由于要开展年报活动，需要b站的鉴权，参考您的思路编写了一个oauth的实现和前端实现.
今天偶然再次翻阅到这个项目，想谈一谈实践中出现的问题和解决方案。

1. 移动端（Android和IOS）用户占比不可忽视，而在移动端链接跳转Web对话页面（https://message.bilibili.com/#/whisper/mid${botUid}）的体验是不佳的。第一，用户可能没有在浏览器登录B站；其次，B站在移动端没有对该界面进行适配，操作体验不佳。我们的改进方案是，前端通过UA判断客户端类型，在移动端采用URL Scheme跳转打开该用户的主页（即bilibili://space/${botUid}），实际体验效果良好。
2. 对于在网站中因为防盗链无法引用B站头像的问题，事实上B站的防盗链只是校验了referer，甚至允许空referer，只需要为图像添加noreferrer属性即可。
3. 在我们完成年报活动后，B站似乎对私信进行了一些限制，未互关的用户每日发送消息条数存在限制。但是我最近测试发现，只要关注后就可以发送多条消息，通过私信鉴权还是存在实用性的。

我们在去年的年报活动中，oauth服务经过了1w次以上的调用，工作良好。事实证明普通用户也能够理解并使用这种第三方的鉴权项目。

Fetching user info function has been implemented in "base.js", and equivalent code in "authorize.js" and "verify.js" should be removed.

redirect URL should be matched with the specified beginning, just like what GitHub does.

    能否尝试接入直播间弹幕[库](https://github.com/xfgryujk/blivedm)代替私信获取，需要发送随机字符串以鉴权

Originally posted by @7est in #6 (comment)

调用B站 API 获取用户基本信息时，将结果缓存下来，再加上有效期，下次请求时直接返回缓存信息即可。

获取缓存用户信息的 API 应设计为需要鉴权。用户可以凭验证请求的令牌查询此用户对应的用户信息，第四方应用可使用有效的应用凭据查询已授权此应用的用户对应信息。除此之外的请求均拒绝。