什么时候我才能不需要再在文章开头说这句话:禁止任何人动我帖子权限。
首先,进入某网站,进入控制台 network,打开 preserve log。
跳去另外页面的就把地址复制回去。
后面那串乱七八糟的可以先考虑不要了
进来后随便注册一个账号,这种东西不要去走github或者google,因为那走的是oauth2,基本上都是要靠浏览器自动化才能解决,协议不好过。
clerk的一个特点就是发送验证码前会先过一次invisible的cf盾,第二个框中可以发现有cf盾
这个请求肯定不是凭空来的,随便往上找几个请求,你就会发现
这么一个请求,这就是cf盾的来源,其中0x开头的就是这个网站所谓的sitekey。
至于怎么发现的呢,简单粗暴的就是你多注册几次,去观察一下什么东西是不变的,不变的一般就是了。
那么siteurl是什么呢,这个值其实没太大所谓,一般配cf盾这个值不是重点,不过对于这个站很明显就是 Requesty ,不过哪怕你配 https://app.requesty.ai 也行,一般网站作者配的都是根域名,所以你加不加路径无所谓。现在就找到了过cf最关键的两个参数了sitekey和siteurl。
紧跟着cf盾过完,去看哪个请求需要这个盾的解,
比如我们就能看到这么一个请求:https://clerk.requesty.ai/v1/client/sign_ups?__clerk_api_version=2025-04-10&_clerk_js_version=5.59.3
一个带有clerk版本号标识的请求,这是请求对应的clerk给你预分配的用户信息。从这一步开始,需要带上cookie,对于requests、httpx都能自动处理cookie,不会的自己去问ai,不教代码。
注意这里面有个sua开头的是重要信息,为啥呢,因为你会发现紧跟着的下一个请求需要这玩意。。。
接下去填写验证码继续。
干啥用的,填验证码的。
过验证码后,能拿到一个session值,记录下
接下去看请求
你会发现有一个创建org的,clerk一般都会让用户绑定一个org,所以基本上都会有这个
https://clerk.requesty.ai/v1/organizations?__clerk_api_version=2025-04-10&_clerk_js_version=5.59.3&_clerk_session_id=sess_2vheMoTqYLBevOT7Oh4BC3NSeZl
需要带session,org名字无所谓
创建完能拿到org id
接下去你能看到这么个请求
这是拿token的,后面的其它操作都是需要这么一个jwt token,有效期30s左右。
https://clerk.requesty.ai/v1/client/sessions/sess_2vheMoTqYLBevOT7Oh4BC3NSeZl/tokens?__clerk_api_version=2025-04-10&_clerk_js_version=5.59.3
去这个页面随便创建一个api key
你会看到这么一个请求
记住要带上一步的token。
然后你就能看到创建的key了,结束。
太强了,佬以一己之力推动行业升级变革。