LAPLACE Login Sync
同步登录状态的基础设施
Intro
用于同步登录状态的核心基础设施,基于 CookieCloud 修改而来,前端简化了界面,后端加固了安全性,并且基于 Hono + Bun 提供了翻倍的并发性能
其修改版遵循 GPL-3.0 协议,代码已完全开源:
浏览器扩展安装方法
请访问 LAPLACE Live! 查看
安全与隐私
最后更新:Jan 4, 2026
请注意,如果您对本项目没有一定的技术理解,那么安装 LAPLACE Login Sync 并同步登录状态可能会变成一个高危行为!请确保完整阅读下列常见问题后再决定是否安装!
LAPLACE Login Sync 是什么?
LAPLACE Login Sync 是一个浏览器扩展程序,用于在浏览器中同步哔哩哔哩的登录状态
它的原理是什么?
当你登录哔哩哔哩后,浏览器会保存一些「通行证」(技术上叫 cookie),这些通行证就像酒店的房卡——有了它,网站就知道「这是已经登录的用户」,不用再输密码
- 你安装在浏览器中的扩展程序(LAPLACE Login Sync)会定时收集这些通行证信息
- 在收集到通行证信息后,扩展程序会:用你的专属密码把它锁起来(加密),只有知道这个密钥的人才能打开
- 服务器只是个「保险箱寄存处」,它看不懂里面装的是什么,因为钥匙只有你自己有
- 但是,当 LAPLACE Chat 需要使用通行证时,LAPLACE Chat 会通过你的密钥打开保险箱,获取通行证信息
- 在拿到通行证信息后,会在服务端访问授权后的哔哩哔哩 API,获取登录后的直播弹幕推流
我为什么需要这个扩展程序?
由于哔哩哔哩本身的限制,我 不得不 获取您的通行证(cookie)信息,以获得未打码的弹幕信息
那么它是否安全?
本项目基于 CookieCloud 修改而来,其算法安全性与 CookieCloud 一致
本项目的服务端采用了额外的认证手段进行认证,因此,即使你的同步登录密钥完全泄漏,他人也仅可以通过本站的服务器获取到您的直播弹幕事件,无法访问其他任何哔哩哔哩 API 1
是否还有其他风险?
将通行证(cookie)交由第三方(本站)保存,本身就是一个高危行为,通常来讲,我并不推荐您这么做,但是由于哔哩哔哩的风控原因,您如果想获得完整的弹幕信息,交出通行证(cookie)是目前唯一的方案
事情没有那么简单,我是程序员,我懂技术,你虽然加密保存了我的 cookie,但是你依然可以解密我的数据!
确实如此,交出 cookie 的安全问题通常需要从两方面考虑,一方面是外部因素,保存 cookie 本身的服务器是否足够安全,可抵御外部的攻击;一方面内部因素,帮您提供 cookie 保存服务的一方本身是否可靠
- 外部因素:本功能于 2023 年 12 月上线至今,没有发生过一起信息泄漏事件
- 内部因素:这个完全凭您个人经验对本站的信用进行评估
作为外部因素,如果信息被泄漏了,会出现什么情况?如何补救?
- 如果本站的同步登录密钥泄漏了,攻击者/拿到泄漏信息的他人可利用您的登录状态访问哔哩哔哩直播的实时弹幕信息,该推弹幕信息为只读信息,也就是你在弹幕机中看到的样子 1
- 如果本站的 cookie 发生泄漏了,那么攻击者可以访问到在本站加密的 cookie 信息,但是无法解密,因此也无法得到 cookie 中的实际内容
- 在极端情况下,如果本站的 cookie 和同步登录信息同时泄漏,并且攻击者可以对应上 cookie 于同步登录信息,那么攻击者可以访问你完整的哔哩哔哩账号
以上三个情况出现的难度依次递增,通常来讲,极难出现上述情况
因此,请勿将同步密钥分享给陌生人,如意外泄漏,请按照下列步骤操作:
- 在浏览器中,立即登出用于同步登录的哔哩哔哩账号
- 打开 LAPLACE Login Sync 扩展应用,点击「保存并同步」——将未同步的登录状态同步至服务器,此时您在本站的同步状态会立即失效
- 点击「重置」,然后再次点击「保存并同步」——此时会弃用之前的同步密钥,并生成新的同步密钥
- 重新登录哔哩哔哩
- 再次打开 LAPLACE Login Sync 扩展应用,点击「保存并同步」
- 使用新的同步密钥替换之前的同步密钥
作为内部因素,如果你作恶,会出现什么情况?如何补救?
我可以直接注销你的哔哩哔哩账号,没办法补救 :D
我不信任你,但我还是想使用你的弹幕机,有什么其他办法?
你可以:
- 使用一个哔哩哔哩小号进行同步登录,只要该账号的状态正常(正常注册,不需要实名,没有被封禁或功能限制),均可以使用本弹幕机。在极端情况下,即使本站被完全攻破、数据被完全泄露,或者你认为本站会盗取你的账号,你也只会损失一个小号
- 唯一的小限制:由于哔哩哔哩自身的限制,如果您想在控制台中查看禁言信息,只有主播本人和房管的登录信息可获取到禁言事件
- 参考下方的「使用第三方浏览器扩展进行同步」章节自行搭建服务器
即使您自行搭建服务器,本站依然需要从服务端拉取您的通行证(cookie)信息,并进行解密。所以如果您真的不对本站抱有信任,我真诚的建议您选择其他服务
以下是自行搭建服务端的安全性对比:
| 平台 | LAPLACE Login Sync | CookieCloud |
|---|---|---|
| 数据存储 | 本站官方服务器 | 您自行搭建的基础设施 |
| 数据安全性 | 高 | 取决于您自己的 DevSecOps 水平 |
| 当同步登录密钥泄漏时… | 他人仅能够获取直播间弹幕事件的只读权限 | 他人有概率获取完整的哔哩哔哩登录凭证(服务端无二次认证) |
我是红客、安全员,我发现了本站的安全漏洞,如何领奖?
请访问 Bounty Hunter 了解更多
使用第三方浏览器扩展进行同步
在 LAPLACE Chat 中,如果您不信任本站的同步服务器。可采用自建服务器的方案。本站同步服务器基于 CookieCloud,您可以自行搭建同步服务器,并使用 CookieCloud 的官方浏览器扩展。具体方法如下
- 访问 CookieCloud 项目,根据项目的说明自行搭建 CookieCloud 服务器,请注意,您的 CookieCloud 服务器必须提供有效的 HTTPS 连接,并且可以通过公网正常访问
- 安装 CookieCloud 浏览器扩展程序
- 在 CookieCloud 浏览器扩展程序中,输入您自行搭建的服务器地址
- 生成用户 key 和端到端密码,同步时间选择 5 分钟;域名关键词输入
bilibili.com;同步 Local Storage 选择否,其他选项不变 - 保存并点击「手动同步」
- 返回到本站配置器,以
用户 key+@+端到端密码拼接的形式将其拼在一起,并粘贴到同步密钥一栏 - 在 LAPLACE Chat 配置器中输入您自己的 CookieCloud 服务器地址
- 请注意,当您使用自行搭建的服务器时,所有服务器安全相关问题将全权由您自行负责。本站不会也无法提供任何技术支持
Server Benchmarks
The new server delivers a roughly 40% increase in performance. Tested on the Apple M2 Max.
| (index) | Task Name | ops/sec | Average Time (ns) | Margin | Samples |
|---|---|---|---|---|---|
| 0 | bun-hono | 5,206 | 192054.40348383566 | ±1.12% | 52069 |
| 1 | bun-express | 4,180 | 239192.77248372967 | ±0.83% | 41808 |
| 2 | node-express | 3,612 | 276843.9688278622 | ±0.84% | 36122 |
Crypto Benchmarks
Tested on the Apple M4 Max with bun 1.2.12 and node 22.14.0
| Task name | Latency avg (ns) | Latency med (ns) | Throughput avg (ops/s) | Throughput med (ops/s) | Samples | |
|---|---|---|---|---|---|---|
| 0 | bun-md5 | 792.34 ± 0.29% | 709.00 ± 41.00 | 1364597 ± 0.02% | 1410437 ± 77104 | 1262080 |
| 1 | bun-sha1 | 504.96 ± 0.35% | 458.00 ± 41.00 | 2238279 ± 0.02% | 2183406 ± 214675 | 1980338 |
| 2 | bun-sha256 | 545.81 ± 0.59% | 459.00 ± 1.00 | 2079642 ± 0.02% | 2178649 ± 4757 | 1832233 |
| 3 | cryptojs-md5 | 6459.3 ± 0.26% | 6083.0 ± 208.00 | 160191 ± 0.06% | 164393 ± 5435 | 154816 |
| 4 | cryptojs-sha1 | 5042.3 ± 0.24% | 4750.0 ± 166.00 | 204651 ± 0.05% | 210526 ± 7150 | 198323 |
| 5 | cryptojs-sha256 | 4511.0 ± 0.28% | 4209.0 ± 166.00 | 230339 ± 0.05% | 237586 ± 9015 | 221681 |
| 6 | cryptojs-encrypt-aes | 12853 ± 0.33% | 12083 ± 458.00 | 80201 ± 0.08% | 82761 ± 3029 | 77803 |
| 7 | cryptojs-decrypt-aes | 11860 ± 0.28% | 11208 ± 375.00 | 86668 ± 0.08% | 89222 ± 2896 | 84319 |
| 8 | crypto-sha1 | 10681 ± 1.00% | 9125.0 ± 875.00 | 103418 ± 0.13% | 109589 ± 11009 | 93629 |
| 9 | crypto-sha256 | 10467 ± 0.63% | 9208.0 ± 626.00 | 102776 ± 0.11% | 108601 ± 7908 | 95535 |
| 10 | crypto-encrypt-aes | 2701.9 ± 3.69% | 2042.0 ± 126.00 | 454319 ± 0.07% | 489716 ± 32205 | 370104 |
| 11 | crypto-decrypt-aes | 2380.6 ± 4.99% | 1708.0 ± 125.00 | 542888 ± 0.07% | 585480 ± 45833 | 420069 |
| 12 | bun-md5-hmac | 1052.1 ± 0.22% | 1000.0 ± 41.00 | 998763 ± 0.02% | 1000000 ± 42753 | 950460 |
| 13 | bun-sha1-hmac | 590.91 ± 0.61% | 542.00 ± 1.00 | 1785374 ± 0.02% | 1845018 ± 3410 | 1692314 |
| 14 | bun-sha256-hmac | 609.30 ± 0.19% | 583.00 ± 41.00 | 1709654 ± 0.02% | 1715266 ± 115266 | 1641215 |
| 15 | crypto-md5-hmac | 1128.3 ± 2.97% | 1000.0 ± 41.00 | 953015 ± 0.03% | 1000000 ± 40307 | 886255 |
| 16 | crypto-sha1-hmac | 732.45 ± 5.93% | 625.00 ± 42.00 | 1556967 ± 0.03% | 1600000 ± 115266 | 1365274 |
| 17 | crypto-sha256-hmac | 716.45 ± 4.83% | 584.00 ± 41.00 | 1576307 ± 0.03% | 1712329 ± 112329 | 1395786 |