网页端分析很简单，就这几个js，直接查找关键词就行。Sign值计算方式没变，依然是MD5(data1|data2|salt)，登录密码的加密方式为3DES。

首先请求“https://app.xxxxxx.edu.cn/easytong_app/GetRandomNumber”，提交表单包含Time和Sign两个参数，返回一个random值，同时注意到相应Cookie中有一个JSESSIONID。

将random补齐到24位作为加密key，偏移量为12347890，使用3DES方式加密，以Hex格式输出，最后标准base64编码就可以。

请求接口“https://app.xxxxxx.edu.cn/easytong_app/H5Login”，五个参数。

有了token之后所有信息都可以获取到，请求“https://app.xxxxxx.edu.cn/easytong_app/getH5QRCode”，AccNum,Time,Sign，需要两个cookie，etToken和JSESSIONID

新系统默认使用学号+身份证后6位登录（企业微信工作台不会提示修改默认密码），只有通过https://app.xxxxxx.edu.cn/easytong_webapp/#/home/index登录才会提示。所以仍然可以随便盗刷。我一个普通学生随手一翻就是一堆身份证号，有心之人想要获取这些信息不是手到擒来？