前两天有个朋友突然给我发了条消息,说他在煤炉上卖东西,手机上操作实在不方便,问我有没有什么办法能在电脑上登录。
我说你直接用浏览器登不就行了。
他说不行,Mercari这玩意手机端和电脑端的账号体系不一样,很多时候手机App上能干的事儿,网页版上压根找不到入口。而且他做跨境,手上好几个号,每天在几台手机之间来回切,快疯了。
我当时就,emmm,大概理解了他的痛。
其实吧,如果你也做跨境电商,或者在日本二手平台上有过买卖经历,你大概率也碰到过类似的问题。手机屏幕就那么大,上架商品要一张一张传图,回复消息还得打字,效率低得让人抓狂。
但Mercari的App就是不给你一个痛快的官方同步方案。
你可能会想,那我模拟器总行吧?不行。Mercari的风控系统对模拟器的检测极其敏感,基本上登录就会触发验证,严重的直接封号。
那虚拟机呢?也悬。设备指纹、传感器数据、电池信息,人家查得明明白白。
所以我那个朋友的需求,说白了就一句话,把手机上已经登录好的Mercari,原封不动搬到电脑浏览器里去。
听起来简单对吧。
但实际操作起来,坑多得离谱。
我先说结论。目前能找到的最可行的方案,核心就一个思路,中间人抓包,把App的登录态Cookie提取出来,再注入到浏览器里。
听着有点技术门槛?别急,往下看,比你想的简单。
先说最省心的一个方案。
有个工具叫SyncMeIn,专门为这事儿开发的。它的原理说起来不复杂,你在电脑上装好软件,手机通过WiFi代理连到电脑上,所有经过手机的网络请求都会被电脑截获。然后它内置了一个Mercari专用脚本,能自动把登录态相关的Cookie挑出来,再通过浏览器插件注入进去。
整个流程大概是这样。
电脑上装好SyncMeIn,按提示装一个根证书。然后在软件里配好代理规则,这里有个关键点,Mercari需要纯净的日本IP,你得自己准备。软件会给你一个局域网IP地址和端口号。
手机这边,进WiFi设置,把代理改成手动,填上电脑给的IP和端口。然后安装SyncMeIn生成的根证书并信任它。
之后确保手机上的Mercari App是登录状态,在手机浏览器里访问一个特定地址,触发Cookie提取。电脑端那边点一下同步,浏览器装好对应的插件,Cookie就自动注入了。
刷新一下Mercari网页。
登录态,到了。
整个过程如果顺利的话,十分钟以内搞定。
不过这里有个脚本口令要记一下,GQMG#o4qiMCZ8Iw#,这是Mercari专用脚本的激活码。如果过期了,就得自己去找最新资源。
说实话,我第一次看朋友操作的时候,觉得这套流程还挺丝滑的。比起自己手动搞,确实省了很多折腾。
但你可能会问,我不想用这种专用工具,有没有更通用的办法?
有。
手动抓包。
思路一模一样,只是工具换成了通用抓包软件,步骤需要自己来。
安卓手机上推荐两个App,一个是PCAPdroid,开源的,不需要Root。另一个是HttpCanary,功能更全一些,也不需要Root。
装好之后,最关键的一步,开启TLS解密。
因为Mercari的通信走的是HTTPS,不开解密你看到的全是加密乱码,没有任何意义。开启之后,App会引导你安装一个CA证书,这一步不能跳过。
然后就开始抓包,打开Mercari,随便操作几下,回到抓包软件里,过滤一下域名,找 mercari.com 或者 mercdn.com 的请求。
随便点开一个请求,看请求头里的Cookie字段。那一长串字符串就是你的登录态。整段复制下来。
接下来就是注入到浏览器了。Chrome或者Edge装一个Cookie编辑插件,EditThisCookie或者Cookie-Editor都行。打开Mercari网站,先把现有Cookie清空,然后把你复制的那些键值对一个个填进去,保存,刷新。
登录态,同步完成。
看起来也不难对吧?
但是,但是,但是。
我要说但是了。
这里面的坑,真的不少。
第一个坑,Android 7.0以上的系统,默认不信任用户自己安装的CA证书。你装了抓包软件的证书,系统级别的HTTPS请求照样会拒绝连接。也就是说,很多App根本抓不到包。解决办法要么Root手机把证书塞进系统目录,要么用安卓模拟器来操作。但前面说了,Mercari对模拟器检测很严,这就变成了一个鸡生蛋蛋生鸡的问题。
第二个坑,风控。Mercari的风控系统不是吃素的。它会检测你的设备指纹、IP地址、登录行为模式。你把Cookie从手机搬到电脑上,等于换了一个设备、换了一个环境,风控系统很可能判定这是异常登录。轻则弹验证码让你重新验证,重则直接限制账号功能,最严重的,封号。
第三个坑,请求加密。Mercari App的很多请求参数是经过加密处理的,MD5也好RSA也好,单纯复制Cookie可能过不了所有接口的校验。这就是为什么方案一的专用脚本成功率更高,它针对Mercari的加密逻辑做过适配。
所以回到最开始的问题。
如果你是做跨境的,手上好几个号要管理,或者你对技术这块不太熟,我建议直接用方案一。SyncMeIn虽然要折腾一下代理和证书,但好歹是专门为这个场景优化过的,稳定性比自己手动搞强太多了。
如果你就是临时用一下,或者你本身对抓包这些有了解,手动方案也可以试试。但一定要做好心理准备,可能折腾半天最后还是被风控挡回来。
对了,不管用哪种方案,操作之前,备份好你当前有效的Cookie。万一搞砸了,至少还能恢复。
说实话,这种技术方案本身就是在刀尖上跳舞。没有百分之百安全的办法,只有效果好一点和差一点的区别。你需要自己评估,这个操作值不值得冒这个风险。
我朋友最后用方案一跑通了。现在他一台电脑管三个号,效率确实高了不少。但他也说,每次同步完第一件事就是检查账号状态,生怕哪天醒来发现号没了。
没办法,有些便利,就是带着代价的。
如有疑问或建议可微信联系 SyncMeIn~
谢谢你看完了我的文章,我们下次再见吧。
暂无评论内容