正文

Steam爬虫登录全解析,从原理到实践,突破登录验证与反爬屏障

三茶云
三茶云 V管理员 /1.06 K阅读/0评论
0330
《Steam爬虫登录全解析》围绕Steam平台爬虫登录需求,从原理到实践进行全方位拆解,它先解析Steam登录的身份验证逻辑与核心反爬机制,包括验证码校验、设备指纹识别、会话验证等关键屏障;再结合实战场景,提供模拟合法请求、动态维护会话Cookie、智能处理验证码等落地方案,帮助开发者突破Steam反爬拦截,实现稳定的爬虫登录,为后续平台数据抓取与分析扫清障碍,是Steam爬虫开发的针对性指导内容。

在游戏数据挖掘、市场行情分析、玩家社区研究等场景中,Steam平台的数据价值不言而喻,但Steam作为全球更大的PC游戏平台,拥有严格的反爬机制,登录验证是爬虫开发者遇到的之一道核心门槛,本文将从登录原理入手,结合代码实践,全面解析Steam爬虫登录的实现逻辑与反爬应对策略。

Steam登录流程核心原理剖析

Steam的登录流程并非简单的账号密码提交,而是包含多轮验证与加密交互,核心步骤如下:

Steam爬虫登录全解析,从原理到实践,突破登录验证与反爬屏障

  1. 前置准备:访问登录页面,获取CSRF Token、RSA公钥(用于加密密码);
  2. 密码加密提交:用公钥加密密码,携带CSRF Token提交登录请求;
  3. 二次验证(Steam Guard):若账号开启保护,需提供手机令牌/邮箱验证码;
  4. 会话建立:验证通过后,服务器返回会话Cookie,用于后续接口请求。

密码加密、Steam Guard验证及反爬行为检测是整个流程的核心难点。

Steam爬虫登录实现:两种主流方案

根据技术复杂度和反爬规避效果,Steam登录爬虫可分为模拟HTTP请求无头浏览器自动化两种方案,以下分别展开实践。

方案1:模拟HTTP请求(无浏览器,轻量化)

该方案通过直接构造HTTP请求模拟登录流程,适合对性能要求较高的场景,但需处理加密逻辑和反爬参数。

步骤1:环境准备

import requests
import rsa
import base64
import time
from bs4 import BeautifulSoup

步骤2:获取CSRF Token与RSA公钥

Steam登录页面的CSRF Token和RSA公钥用于密码加密和请求合法性验证:

session = requests.Session()
login_url = "https://store.steampowered.com/login/"
# 访问登录页面,获取csrf token和公钥
response = session.get(login_url)
soup = BeautifulSoup(response.text, "html.parser")
csrf_token = soup.find("input", {"name": "sessionid"})["value"]
# 提取RSA公钥
rsa_key = soup.find("div", {"class": "login_rsa_key"})
modulus = int(rsa_key["data-pubkey-modulus"], 16)
exponent = int(rsa_key["data-pubkey-exponent"], 16)
public_key = rsa.PublicKey(modulus, exponent)

步骤3:加密密码并提交登录请求

Steam要求密码必须用RSA公钥加密后提交,避免明文传输:

username = "你的Steam账号"
password = "你的Steam密码"
# RSA加密密码
encrypted_password = base64.b64encode(rsa.encrypt(password.encode(), public_key))
# 构造登录请求参数
login_data = {
    "username": username,
    "password": encrypted_password,
    "sessionid": csrf_token,
    "remember_login": "false"
}
# 提交登录
login_response = session.post(
    "https://store.steampowered.com/login/dologin/",
    data=login_data,
    headers={"Referer": login_url}
)
# 处理登录响应(若开启Steam Guard,需继续验证)
login_result = login_response.json()
if login_result.get("requires_twofactor"):
    print("需要Steam Guard验证")
    # 此处需处理手机令牌/邮箱验证码

步骤4:Steam Guard手机令牌验证

Steam手机令牌基于TOTP算法生成6位验证码,可通过steam.guard库实现自动生成:

from steam.guard import SteamAuthenticator
# 从Steam手机令牌的maFile中获取shared_secret
shared_secret = "你的shared_secret"
auth = SteamAuthenticator(shared_secret)
twofactor_code = auth.get_code()
# 提交二次验证请求
twofactor_data = {
    "steamid": login_result["steamid"],
    "twofactorcode": twofactor_code,
    "sessionid": csrf_token,
    "remember_login": "false"
}
final_response = session.post(
    "https://store.steampowered.com/login/dologin/",
    data=twofactor_data,
    headers={"Referer": login_url}
)
# 验证是否登录成功
if final_response.json()["success"]:
    print("登录成功,保存Cookies")
    # 保存Cookies到文件,用于后续请求
    with open("steam_cookies.json", "w") as f:
        json.dump(session.cookies.get_dict(), f)

方案2:无头浏览器自动化(易实现,低学习成本)

该方案通过Selenium、Playwright等无头浏览器模拟人工登录,无需手动处理加密参数,但性能较低且易触发行为检测。

步骤1:环境准备

from selenium import webdriver
from selenium.webdriver.common.by import By
from selenium.webdriver.support.ui import WebDriverWait
from selenium.webdriver.support import expected_conditions as EC
import time

步骤2:模拟人工登录流程

# 初始化无头浏览器(以Chrome为例)
options = webdriver.ChromeOptions()
options.add_argument("--headless=new")  # 无头模式
options.add_argument("--disable-blink-features=AutomationControlled")  # 隐藏自动化特征
options.add_experimental_option("excludeSwitches", ["enable-automation"])
driver = webdriver.Chrome(options=options)
driver.get("https://store.steampowered.com/login/")
# 输入账号密码
WebDriverWait(driver, 10).until(
    EC.presence_of_element_located((By.ID, "input_username"))
).send_keys("你的Steam账号")
driver.find_element(By.ID, "input_password").send_keys("你的Steam密码")
# 点击登录按钮
driver.find_element(By.ID, "login_btn_signin").click()
# 处理滑块验证码(需结合打码平台或行为模拟,此处示例为等待人工干预)
print("请手动处理滑块验证码,完成后按回车继续...")
input()
# 处理Steam Guard(若开启)
try:
    twofactor_input = WebDriverWait(driver, 10).until(
        EC.presence_of_element_located((By.ID, "twofactorcode_entry"))
    )
    twofactor_code = input("请输入手机令牌验证码:")
    twofactor_input.send_keys(twofactor_code)
    driver.find_element(By.ID, "login_btn_verify").click()
except:
    pass  # 若未开启Steam Guard则跳过
# 登录成功后保存Cookies
if "store.steampowered.com/account/" in driver.current_url:
    print("登录成功")
    cookies = driver.get_cookies()
    with open("steam_cookies.json", "w") as f:
        json.dump(cookies, f)
driver.quit()

Steam反爬机制与应对策略

Steam的反爬机制会持续迭代,登录环节的核心反爬点及应对 如下:

  1. 行为检测:无头浏览器易被识别,需通过修改navigator.webdriver、模拟人类操作轨迹(如随机输入间隔、鼠标移动)规避;
  2. 滑块验证码:Steam滑块包含轨迹和速度检测,纯模拟滑动易失败,可结合第三方打码平台(如极验、云打码)或使用真实浏览器登录后复用Cookies;
  3. 账号风控:频繁登录、异地登录会触发账号冻结,建议使用固定 IP、控制登录频率,避免使用新注册账号;
  4. 请求头校验:需完善User-AgentRefererAccept-Language等请求头,避免默认值;
  5. IP:使用高匿 IP池,避免单一IP频繁请求导致封禁。

合法合规提醒

Steam《用户协议》明确禁止未经授权的爬虫行为,使用爬虫登录Steam可能导致账号封禁或法律风险,本文所有内容仅限技术学习与研究使用,请勿用于商业用途或违反平台规则的行为,爬虫开发者需严格遵守法律法规及平台协议,尊重数据所有者的权益。

Steam爬虫登录的核心在于对登录流程的深度理解和反爬策略的灵活应对,模拟HTTP请求适合追求性能的场景,需攻克加密和Token问题;无头浏览器则更贴近人工操作,实现成本更低,无论选择哪种方案,都需以合规为前提,在技术学习的同时,避免触碰平台规则与法律红线。