当前位置：首页 > news >正文

影刀RPA 网页登录与会话管理：Cookie-Token处理详解

news 2026/6/17 21:06:10

影刀RPA 网页登录与会话管理：Cookie/Token处理完全指南

作者：林焱|阅读时长：10分钟|难度：⭐⭐⭐（进阶）
很多网站需要登录后才能操作——采集数据、提交表单、导出报表…登录态管理是RPA中最常见也最容易出问题的环节。本文彻底讲清楚Cookie、Token、Session的处理方式，让你不再被"登录过期"困扰！

一、为什么登录管理这么重要

1.1 你一定遇到过这些情况

现象	原因	影响
流程跑到一半突然提示"请先登录"	Session/Cookie过期	整个流程中断，前功尽弃
每次运行都要手动扫码/输验证码	没有保存登录状态	无法实现无人值守
切换账号后数据串了	多个账号的Cookie混淆	数据错误
同一网站打开多个标签页互相影响	共享Session导致冲突	操作错乱

1.2 登录态的本质

用户登录流程： 浏览器/客户端 服务器 │ │ │ 1. 输入账号密码 │ │ ──────────────────> │ │ │ 验证身份 │ 2. 返回 Cookie/Token│ │ <────────────────── │ │ │ │ 3. 后续请求带上Cookie/Token │ ──────────────────> │ │ │ 验证有效性 → 返回数据 │ 4. 获取到数据 │ │ <────────────────── │ 核心概念： ┌─────────────┬──────────────────────────────────────┐ │ Cookie │ 服务器通过Set-Cookie头下发给浏览器， │ │ │ 浏览器后续自动带回，用于标识"你是谁" │ ├─────────────┼──────────────────────────────────────┤ │ Token │ 通常是JWT格式，服务器验证签名即可， │ │ │ 无需服务端存储Session（无状态认证） │ ├─────────────┼──────────────────────────────────────┤ │ Session │ 服务器端存储的会话记录， │ │ │ 通过SessionID(Cookie)关联 │ └─────────────┴──────────────────────────────────────┘

二、方案一：使用已登录的浏览器（最简单）

2.1 原理

直接调用用户本地已经登录过的浏览器配置文件，继承已有的登录状态。

适用场景：

目标网站是内部系统（OA、CRM、ERP）
登录方式复杂（短信验证码、扫码、VPN）
不频繁更换账号

2.2 影刀RPA中的实现

# 方式一：使用默认浏览器配置文件（推荐）打开浏览器(使用用户配置文件=True,配置文件路径="C:/Users/{用户名}/AppData/Local/Google/Chrome/User Data")# 此时浏览器会带着所有已登录的Cookie！# 直接访问需要登录的页面即可导航到("https://internal.company.com/dashboard")

2.3 注意事项

要点	说明
浏览器必须关闭	不能在有Chrome窗口运行时使用同一配置文件（锁文件冲突）
路径要准确	不同浏览器的配置文件路径不同（见下方）
Profile选择	如果有多个Chrome Profile，指定正确的子目录名
安全性	适合个人自动化，不适合多用户共享

2.4 各主流浏览器配置文件路径

店群矩阵自动化突破运营极限！

Windows: Chrome: C:\Users\{用户名}\AppData\Local\Google\Chrome\User Data Edge: C:\Users\{用户名}\AppData\Local\Microsoft\Edge\User Data Firefox: C:\Users\{用户名}\AppData\Roaming\Mozilla\Firefox\Profiles\{随机字符串}.default-release

三、方案二：手动模拟登录流程（最通用）

3.1 基本步骤

当不能使用已有登录态时（比如需要在服务器上运行），就需要完整模拟登录过程。

模拟登录完整流程： 1. 打开登录页面 ↓ 2. 输入用户名 → 元素捕获输入框 → 填写 ↓ 3. 输入密码 → 元素捕获输入框 → 填写 ↓ 4. [可选] 处理验证码 ├── 图片验证码 → OCR识别或打码平台 ├── 滑块验证 → 模拟滑动轨迹 ├── 短信验证码 → 接收短信并填写 └── 扫码登录 → 等待用户扫码（需人工介入） ↓ 5. 点击登录按钮 ↓ 6. 等待跳转成功 ↓ 7. 保存当前Cookie/Token（供后续使用！） ↓ 8. 继续执行目标操作...

3.2 完整代码示例

# ====== 第一步：打开登录页面 ======打开浏览器()导航到("https://example.com/login")等待页面加载完成()# ====== 第二步：填写账号密码 ======# 捕获用户名输入框用户名框=捕获元素(选择器="#username")输入文本(用户名框,"your_username")# 捕获密码输入框密码框=捕获元素(选择器="#password")输入文本(密码框,"your_password")# ====== 第三步：处理验证码 ======验证码图片=捕获元素(选择器="#captcha-img")截图元素(验证码图片,保存为="temp_captcha.png")# 调用OCR识别验证码识别结果=OCR识别("temp_captcha.png")验证码输入框=捕获元素(选择器="#captcha-input")输入文本(验证码输入框,识别结果.文本)# ====== 第四步：点击登录 ======登录按钮=捕获元素(选择器="#login-btn")点击(登录按钮)# ====== 第五步：等待登录成功 ======#等待条件(条件=URL包含("/dashboard"),超时时间=10秒)输出日志("✅ 登录成功！")# ====== 第六步：保存Cookie ======当前Cookies=获取所有Cookies()保存到文件(当前Cookies,"cookies.json")输出日志(f"已保存{len(当前Cookies)}个Cookie")

3.3 常见表单元素的选择器策略

# 不同网站的登录表单结构不同，以下是常见模式# 模式1: 标准form + input用户名="#username"或"[name='username']"密码="#password"或"[type='password']"# 模式2: React/Vue组件（动态属性）用户名="input[placeholder*='用户']"密码="input[placeholder*='密码']"登录按钮="button[type='submit']"# 模式3: iframe内嵌登录框切换到Iframe("#login-iframe")用户名="#username"# iframe内的元素...操作完成后切回主框架...# 模式4: 第三方登录（QQ/微信/支付宝）第三方按钮=".third-party-login .icon-qq"点击(第三方按钮)等待弹出二维码/跳转

四、方案三：API接口直接登录（最高效）

4.1 原理

绕过浏览器界面，直接用HTTP请求调用登录接口获取Token，后续所有请求带上Token即可。

优势：

速度极快（毫秒级 vs 秒级）
资源消耗低（不需要启动浏览器）
更稳定（不依赖UI元素）

前置条件：

需要知道登录接口的URL和参数格式
通常需要抓包分析

4.2 抓包分析方法

使用浏览器开发者工具抓取登录请求： 1. F12 打开开发者工具 → Network（网络）标签 2. 勾选 "Preserve log"（保留日志） 3. 在网页上正常登录一次 4. 在Network列表中找到登录接口请求 5. 查看以下信息： ┌─────────────────────────────────────┐ │ General（常规） │ │ Request URL: https://api.xxx.com/auth/login │ │ Request Method: POST │ │ │ │ Request Headers（请求头） │ │ Content-Type: application/json │ │ User-Agent: Mozilla/5.0 ... │ │ │ │ Request Payload（请求体） │ │ {"username":"admin","pwd":"xxx"} │ │ │ │ Response（响应） │ │ {"code":0,"data":{"token":"..."}} │ └─────────────────────────────────────┘

4.3 用影刀RPA实现API登录

importrequestsimportjson# ====== API登录 ======登录URL="https://api.example.com/auth/login"请求头={"Content-Type":"application/json","User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) ..."}请求数据={"username":"your_username","password":"your_password"# ⚠️ 注意是否需要加密}响应=requests.post(登录URL,headers=请求头,json=请求数据)结果=响应.json()If(结果.code==0):Token=结果.data.token 输出日志(f"✅ 登录成功！Token:{Token[:20]}...")Else:输出日志(f"❌ 登录失败：{结果.message}")抛出异常("登录失败")# ====== 使用Token访问受保护的接口 ======保护接口头={"Authorization":f"Bearer{Token}",# 最常见的Token传递方式"Content-Type":"application/json"}# 获取用户信息用户信息=requests.get("https://api.example.com/user/info",headers=保护接口头).json()# 获取业务数据列表数据列表=requests.get("https://api.example.com/data/list",headers=保护接口头,params={"page":1,"size":50}).json()

4.4 常见的Token传递方式

方式	Header名称	示例值
Bearer Token	`Authorization`	`Bearer eyJhbGciOiJIUzI1NiIs...`
自定义Token	`X-Token`/`access-token`	`abc123xyz456`
Cookie中的Token	`Cookie`	`session_id=abc123; token=xyz456`
Query参数（不推荐）	URL参数	`/api/data?token=abc123`

五、实战案例一：自动登录OA系统导出考勤数据

5.1 需求描述

公司使用某品牌OA系统，每月初HR部门需要从系统中导出上月考勤数据，涉及200+人的数据。

难点：

OA系统需要域账号登录
有图形验证码
导出数据需要翻页

5.2 完整解决方案

主流程: OA考勤数据导出 │ ├── 1. 使用已有浏览器配置文件（绕过登录问题） │ 打开浏览器(UserDataDir="Chrome配置目录") │ ├── 2. 导航到考勤页面 │ 导航到("https://oa.company.com/attendance/monthly") │ ├── 3. 设置日期范围（上个月1号~最后一天） │ ├── 点击开始日期选择器 → 选择上月1号 │ └── 点击结束日期选择器 → 选择上月最后一天 │ ├── 4. 点击查询按钮 │ ├── 5. 检查是否需要重新登录 │ If (页面包含"登录"): │ │ 弹窗提醒："浏览器登录已过期，请手动登录后继续" │ │ 等待用户操作（最长等待5分钟） │ └ 继续检查 │ ├── 6. 循环翻页采集数据 │ 所有数据行 = [] │ While (存在下一页): │ 当前页数据 = 提取表格行() │ 所有数据行.追加(当前页数据) │ 点击"下一页" │ 等待加载 │ ├── 7. 写入Excel │ 创建Excel("考勤数据_{月份}.xlsx") │ 写入表头 │ 批量写入所有数据行 │ 保存 │ └── 8. 发送通知 邮件发送( 收件人="hr@company.com", 主题="考勤数据已导出 - {月份}", 附件="考勤数据_{月份}.xlsx" )

5.3 关键技巧：检测登录状态

# 在每次关键操作前检查登录状态def检查登录状态():当前URL=获取当前URL()页面源码=获取页面源码()# 方式1: 通过URL判断If(当前URL 包含"/login")或(当前URL==登录页URL):返回False# 方式2: 通过页面特征判断If("请登录"in页面源码)或("登录已过期"in页面源码):返回False# 方式3: 通过特定元素判断（更可靠）Try:用户头像元素=捕获元素(".user-avatar")# 仅登录后才显示返回TrueCatch:返回False# 使用示例If(not检查登录状态()):# 尝试重新登录或等待人工干预...

六、实战案例二：多账号轮流登录采集数据

6.1 场景

temu店群自动化报活动案例

某些网站对单个账号有频率限制（如每天只能查询100次），需要使用多个账号轮流操作来突破限制。

6.2 账号隔离方案

# 每个账号使用独立的浏览器配置文件（独立的Cookie）账号列表=[{"user":"account1","pass":"pwd1","profile_dir":"profile_001"},{"user":"account2","pass":"pwd2","profile_dir":"profile_002"},{"user":"account3","pass":"pwd3","profile_dir":"profile_003"},]For Each(账号in账号列表):# 使用独立配置文件配置路径=f"C:/BrowserProfiles/{账号.profile_dir}"# 启动浏览器打开浏览器(配置文件路径=配置路径)# 检查该账号是否已登录导航到("https://target.com/home")If(需要重新登录()):执行登录(账号.user,账号.pass)等待(2秒)# 等待登录生效# 执行该账号的任务配额（如采集30条数据）执行采集任务(配额=30)# 关闭浏览器（释放资源+保存Cookie）关闭浏览器()# 账号间间隔，避免触发风控等待(随机秒数(5,15))

6.3 Cookie导入导出

# 将登录后的Cookie导出为文件，下次直接导入无需重新登录def导出Cookie(浏览器对象,文件路径):Cookies=浏览器对象.获取Cookies()JSON写入(Cookies,文件路径)def导入Cookie(浏览器对象,文件路径):Cookies=JSON读取(文件路径)For Each(CookieinCookies):![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/fe5a27a37aa4448cb621972da51af316.png#pic_center)浏览器对象.添加Cookie(Cookie)# 工作流：# 第一次：手动登录 → 导出Cookie# 之后每次：启动浏览器 → 导入Cookie → 直接操作（无需登录）

七、常见登录问题与解决方案大全

7.1 验证码处理方案对比

验证码类型	推荐方案	成功率	成本
简单数字/字母（无干扰线）	OCR识别（Tesseract/PaddleOCR）	95%+	免费
带干扰线的字符码	OCR + 图像预处理	70-85%	免费
滑动验证	模拟人类滑动轨迹	80-90%	免费
点选文字/图片	AI模型识别（YOLO/OCR组合）	60-75%	中等
短信验证码	自动读取短信（需手机接入）	99%	需硬件
扫码登录	等待人工扫码	100%	需人工
reCAPTCHA/hCaptcha	第三方打码平台	90-98%	付费

7.2 二次验证/MFA处理

很多企业系统启用了双因素认证（2FA），处理思路： 方案1: 使用专用设备/软件令牌 ├── 安装TOTP应用（如Authy/微软 Authenticator） ├── RPA调用TOTP库生成动态验证码 └── 自动填入验证码 方案2: 使用记住设备功能 ├── 首次登录时勾选"信任此设备" / "30天内免验证" └── 之后30天内在同一台电脑无需二次验证 方案3: 预生成的备用码 ├── 在账号设置中生成一批一次性备用码 ├── RPA依次使用备用码（每个只能用一次） └── 及时补充新的备用码

7.3 登录状态保持与刷新

# 问题：长时间运行的RPA任务可能中途登录过期# 解决：定时刷新登录状态上次活动时间=当前时间()def确保登录有效():全局 上次活动时间# 如果超过30分钟没有活动，主动刷新If(当前时间()-上次活动时间>30分钟):# 方式1: 访问一个需要登录的轻量接口响应=访问("https://example.com/api/ping")If(响应状态码==401):# 未授权重新登录()Else:上次活动时间=当前时间()returnTrue# 在每次请求前调用确保登录有效()执行业务操作()

八、安全最佳实践

安全维度	具体措施
凭证安全	账号密码不要写在代码中，使用加密配置文件或环境变量
传输安全	使用HTTPS，避免在明文HTTP中传输凭据
Cookie安全	Cookie文件设置权限，防止其他程序读取
日志脱敏	日志中不要打印完整的Token和密码
账号隔离	不同任务使用不同账号，避免单个被封影响全部
频率控制	合理控制请求频率，避免触发风控导致封号
法律合规	仅在授权范围内使用，遵守目标网站的服务条款和robots.txt

九、学习小结

技能点	难度	使用频率	核心要点
已登录浏览器配置文件	⭐☆☆	★★★★★	最省事，适合个人场景
模拟登录（含验证码）	⭐⭐⭐	★★★★☆	最通用，应对各种网站
API直接登录	⭐⭐☆	★★★★★	最高效，需要抓包分析
Cookie导入导出	⭐⭐☆	★★★★☆	复用登录态的关键技能
多账号轮换	⭐⭐⭐	★★★☆☆	突破频率限制
登录过期检测与恢复	⭐⭐⭐	★★★★★	长时间运行必备