skills/shaharsha/Spotify Player

Spotify Player

🎵 无头服务器Spotify终端控制器

无头Linux服务器控制Spotify播放,无需OAuth回调,仅需浏览器Cookie即可远程管理

收藏
8.1k
安装
2.5k
版本
1.2.0
CLS 安全性认证2026-05-15
点击查看完整报告 >

使用说明

核心用法

Spogo 是一款专为无头 Linux 服务器设计的 Spotify CLI 工具,通过浏览器 Cookie 认证绕过传统 OAuth 的本地回调限制。用户只需从浏览器提取 sp_dcsp_t 两个 Cookie,写入本地 JSON 文件即可完成配置,无需在服务器上安装浏览器或配置复杂的 OAuth 流程。

显著优点

  • 零浏览器依赖:Cookie 认证彻底摆脱本地浏览器要求,完美适配 SSH 远程服务器
  • 极简部署:单二进制文件,Go 语言原生编译,无额外运行时依赖
  • 功能完整:支持搜索、播放控制、设备管理、状态查询等核心 Spotify Connect 功能
  • Connect API 无限制:默认使用 Spotify Connect API,无速率限制
  • 会话持久:Cookie 有效期约一年,配置一次长期可用

潜在缺点与局限性

  • Premium 强制要求:免费账户无法使用 Connect API
  • Cookie 手工维护:Cookie 过期或用户修改密码后需手动重新提取
  • 设备会话依赖:首次使用或长期未播放时,需通过浏览器自动化启动播放会话(工具内置可选方案)
  • 无 Web API 高级功能:部分功能(如库管理)受限,需回退到浏览器自动化
  • 单一作者维护:由个人开发者维护,长期更新承诺不明确

适合人群

  • 远程服务器/VPS 用户希望在终端控制 Spotify
  • 无桌面环境的 Linux 服务器管理员
  • 需要自动化 Spotify 播放的脚本开发者
  • 不愿配置复杂 OAuth 流程的极简主义者

常规风险

  • Cookie 泄露风险sp_dc 相当于长期有效令牌,文件权限需严格限制(建议 600)
  • 浏览器自动化权限:可选的浏览器回退功能需要谨慎评估隔离环境
  • 第三方依赖:从 GitHub 直接安装,需信任 steipete/spogo 仓库安全性
  • 账户安全边界:Cookie 认证绕过了 Spotify 官方 OAuth 安全模型,官方可能随时调整策略

安全解读

核心用法

该 Skill 是一份纯 Markdown 文档型指南(T-MD),本身不包含可执行代码,而是指导用户在无头 Linux 服务器上安装和配置 spogo——一个基于 Cookie 认证的 Spotify CLI 工具。

关键工作流程:
1. 安装 spogo:通过 go install 从官方仓库安装
2. 获取浏览器 Cookie:从 open.spotify.com 提取 sp_dcsp_t 两个 Cookie
3. 配置本地存储:将 Cookie 写入 ~/.config/spogo/cookies/default.json
4. 验证与使用:运行 spogo auth status 验证后,即可搜索、播放、控制 Spotify

浏览器回退机制:当没有活跃 Spotify 设备时,可使用内置浏览器自动化在隔离环境中打开 Spotify 网页并点击播放,建立会话后再切换至目标设备。

显著优点

  • 无 OAuth 依赖:完美解决远程服务器无 localhost 访问的痛点,无需配置回调服务器
  • 零代码风险:纯文档 Skill,无实际执行代码,所有操作由用户显式执行
  • 灵活控制:支持搜索、播放/暂停、切歌、设备切换、JSON 输出等完整功能
  • 可信网络边界:仅与 Spotify 官方 API (api.spotify.com, open.spotify.com) 通信
  • 透明开源:依赖的 spogo 工具来自 GitHub 开源项目,可审计

潜在缺点与局限性

  • Cookie 有效期限制:Cookie 约 1 年有效,用户登出或改密后需重新获取
  • Premium 门槛:免费账户无法使用 Connect API
  • 手动配置繁琐:需要用户从浏览器 DevTools 手动复制 Cookie,体验不够自动化
  • 设备会话依赖:首次使用或长时间无播放时,需要浏览器回退步骤激活会话
  • Web API 速率限制:使用 --engine web 时可能遇到 429 错误

适合人群

  • 需要在远程 Linux 服务器/容器/云主机上控制 Spotify 的开发者
  • 无图形界面环境(无头服务器)的用户
  • 熟悉命令行和浏览器 DevTools 的技术用户
  • 希望避免 OAuth 复杂配置的场景

常规风险

| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| Cookie 泄露 | `sp_dc` 和 `sp_t` 存储在本地文件系统,等同于长期登录凭证 | 确保 `~/.config/spogo/cookies/` 目录权限严格,切勿提交至版本控制或共享 |
| 来源可信度 | Skill 作者为个人开发者 (T3),非企业/基金会背书 | 验证 `spogo` 原始仓库的社区活跃度、Issue 响应、代码审查历史 |
| 供应链攻击 | `go install` 从网络获取代码,存在篡改风险 | 建议固定版本号(如 `@v0.2.0` 而非 `@latest`),验证模块哈希 |
| 权限配置 | 安装指南包含 `sudo` 和 `.bashrc` 修改 | 理解每条命令含义,可考虑用户级安装替代系统级安装 |
| 浏览器回退隐私 | 可选功能使用隔离浏览器环境 | 该功能仅在无活跃设备时触发,不提取额外 Cookie 或访问其他页面 |

认证报告要点

  • 综合评分 78/100,等级 A
  • 威胁检测:6 处标记均为误报(标准安装命令)
  • 合规性:GDPR 数据最小化、敏感数据保护、传输加密等全部通过
  • 隐私合规:仅本地存储 Cookie,无数据外发行为
  • 唯一警告:来源为个人开发者(T3 级别),建议用户自行验证 steipete/spogo 项目可信度

总结:这是一个设计简洁、风险可控的文档型 Skill,适合特定技术场景,但用户需理解 Cookie 认证的安全模型并妥善保管凭证。

spotifymusic-streamingcliheadless-servercookie-authlinuxremote-accessgomedia-control

Spotify Player 内容

手动下载zip · 2.8 kB
SKILL.mdtext/markdown
请选择文件