API爬虫核心在于理解接口规则而非编码,80%精力用于分析URL参数、请求方法、Headers、响应结构等;需用开发者工具抓包,Python模拟时注意Session复用、签名生成、错误处理与限频日志。
爬虫开发中调用 API 接口,核心不是写多少代码,而是理解目标接口的规则、验证方式和数据结构。真正能稳定跑起来的 API 爬虫,80% 功夫花在“看清接口”上,20% 才是编码实现。
先搞懂这个 API 到底怎么用
别急着写 requests.get()。打开浏览器开发者工具(F12),切到 Network 标签页,手动操作一次目标页面或功能(比如搜索商品、加载列表),找到对应请求(通常是 XHR 或 Fetch),点开看:
- 请求地址(URL):有没有动态参数?比如 timestamp、sign、token?
- 请求方法:是 GET 还是 POST?POST 的话,Body 是 form-data、x-www-form-urlencoded 还是 JSON?
- 请求头(Headers):重点关注 User-Agent、Referer、Cookie、Authorization、X-Token 这类字段——很多接口靠它验身份。
- 响应内容:是纯 JSON?有没有加密或混淆?状态码是不是总返回 200?错误时怎么提示(比如 code=401 表示过期)?
用 Python 模拟真实请求,别裸奔
requests 库够用,但关键是要“像人一样发请求”。简单示例:
import requestsheaders = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36", "Referer": "https://www.php.cn/link/51c8a2a1dffa372556506579fcb41a1d", "X-Token": "abc123def456", # 可能需要登录后从响应里提取 }
params = {"page": 1, "size": 20} resp = requests.get("https://www.php.cn/link/f7e47cabc89aa734c3c9aec9aa9692c0", headers=headers, params=params)
if resp.status_code == 200: data = resp.json()
检查 data.get("code") == 0 再取 data.get("data")
注意:别漏掉 session 复用。如果接口依赖登录态(比如 Cookie 或 token),用 requests.Session() 自动管理更稳。
应对反爬:签名、时间戳、加密参数怎么破
很多正规平台 API 会加 sign 参数(如 MD5(timestamp+secret+params))。这时候不能只靠 Python 请求,得把前端 JS 逻辑“抄过来”:
- 在 Sources 或 Debugger 里搜 sign、crypto、md5,定位生成函数
- 用 PyExecJS、execjs 或直接重写 JS 逻辑(推荐用
pycryptodome或hashlib) - 时间戳通常用
int(time.time() * 1000),但有些接口要和服务端对齐,可先抓一次响应头里的Date字段校准
小技巧:把 JS 函数复制进浏览器控制台,传不同参数试输出,确认逻辑后再移植到 Python。
稳定运行的关键:错误处理 + 限频 + 日志
API 爬虫挂掉,90% 是因为没处理好异常。基础防护建议:
- 用
try/except包住请求,捕获requests.exceptions.RequestException - 检查响应中的业务 code(不是 HTTP 状态码),比如
if data.get("code") != 0: log.error(data.get("msg")) - 加
time.sleep(1)控制频率;高频请求配随机 delay(0.8–1.5 秒)更安全 - 记录每次请求的 URL、耗时、状态、返回摘要(前 200 字符),出问题秒定位
基本上就这些。API 爬虫不复杂,但容易忽略细节。看清规则、模拟到位、容错留痕,比追求“全自动识别”实在得多。
