首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 HTML / CSS

详解淘宝H5 sign加密算法

Posted in HTML / CSS onAugust 25, 2020

淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,MTOP利用这个摘用值和cookie中的token来防止URL篡改。

流程

当本地cookie中的token为空时(通常是第一次访问),mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答,同时mtop会生成token写入cookie中(response.cookies);
第二次请求时,js通过读取cookie中的token值,按照约定的算法生成sign, sign在mtop的请求中带上,mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较,检查通过将返回api的应答,失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”;

cookie中的token是有时效性的,遇到token失效时,将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求;
关于cookie中的token的自我检查,由于token在cookie中是明文的,可能会被仿冒,在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的(利用加密后的token和私钥还原token,与回传的明文token比较)

sign 生成

关于sign的生成公式:

md5Hex(token&t&appKey&data)

如:md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")

sign=4c1e7b6853fa7a5e1b8f7066ee22932f

实现代码:

public static String calcSignature(String token, String timestamp, String appKey, String data) {
        return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
                + timestamp + "&" + appKey + "&" + data);
    }

    public static void main(String[] args) {
        String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
        String timestamp="1572522062317";
        String sign = calcSignature(token, timestamp, "12345678", "{\"itemNumId\":\"1502111132496\"}");
        System.out.println(sign);
    }

token

m_h5tk: 格式为 明文token_expireTime, 从response.cookies处获取,如: 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317

token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
失效时间是 1572522062317

可封装在一个类中负责存储token

@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class Credentials implements Comparable<Credentials> {
    private String _m_h5_tk;
    private String _m_h5_tk_enc;

    private static final int OFFSET = 60000;

    public String getToken() {
        return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
    }

    public long getExpireTimestamp() {
        long t = new Date().getTime() - OFFSET;
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return t;
        }
        try {
            return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
        } catch (NumberFormatException e) {
            return t;
        }
    }

    public boolean isExpired() {
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return true;
        }
        return new Date().getTime() > getExpireTimestamp();
    }

    @Override
    public int compareTo(Credentials o) {
        return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
    }
}

t
很简单,即时间戳 通过 new Date().getTime() 获得

appKey
固定数值 通过抓包工具在请求参数中可获得,参数名 appKey

data
提交的参数 通过抓包工具在请求参数中可获得 通常是一个JSON字符串

到此这篇关于详解淘宝H5 sign加密算法的文章就介绍到这了,更多相关淘宝H5 sign加密内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章,希望大家以后多多支持三水点靠木!

详解淘宝H5 sign加密算法

- Author -

wx-lily_19941214

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

HTML / CSS 相关文章推荐
css3实现背景模糊的三种方式
Mar 09 HTML / CSS
CSS3 绘制BMW logo实的现代码
Apr 25 HTML / CSS
利用CSS3实现平移动画效果示例代码
Oct 12 HTML / CSS
纯css3实现思维导图样式示例
Nov 01 HTML / CSS
CSS3实现图片抽屉式效果的示例代码
Nov 06 HTML / CSS
HTML5的标签的代码的简单介绍 HTML5标签的简介
May 28 HTML / CSS
Bootstrap 学习分享
Nov 12 HTML / CSS
HTML5在canvas中绘制复杂形状附效果截图
Jun 23 HTML / CSS
浅谈利用缓存来优化HTML5 Canvas程序的性能
May 12 HTML / CSS
HTML5头部标签的一些常用信息小结
Oct 23 HTML / CSS
html5 figure和figcaption的使用方法
Sep 10 HTML / CSS
关于canvas.toDataURL 在iOS运行失败的问题解决
Sep 16 HTML / CSS
AmazeUI 等分网格的实现示例
Aug 25 #HTML / CSS
AmazeUI 点击元素显示全屏的实现
Aug 25 #HTML / CSS
AmazeUI 按钮交互的实现示例
Aug 24 #HTML / CSS
amazeui页面校验功能的实现代码
Aug 24 #HTML / CSS
amazeui树节点自动展开折叠面板并选中第一个树节点的实现
Aug 24 #HTML / CSS
如何使用amaze ui的分页样式封装一个通用的JS分页控件
Aug 21 #HTML / CSS
Canvas波浪花环的示例代码
Aug 21 #HTML / CSS
西班牙购物网站(115) 新加坡购物网站(41) 加拿大购物网站(185) 巴西购物网站(71) 爱尔兰购物网站(30) 香港购物网站(84) 韩国购物网站(27) 中国购物网站(172) 英国购物网站(954) 美国购物网站(1542)
You might like
php数组总结篇(一)
2008/09/30 PHP
php模板函数 正则实现代码
2012/10/15 PHP
ThinkPHP3.1之D方法实例详解
2014/06/20 PHP
ThinkPHP里用U方法调用js文件实例
2015/06/18 PHP
PHP curl模拟登录带验证码的网站
2015/11/30 PHP
小程序微信退款功能实现方法详解【基于thinkPHP】
2019/05/05 PHP
php源码的使用方法讲解
2019/09/26 PHP
JS实现打开本地文件或文件夹
2021/03/09 Javascript
仿微博字符限制效果实现代码
2012/04/20 Javascript
jquery实现微博文字输入框 输入时显示输入字数 效果实现
2013/07/12 Javascript
jquery通过a标签删除table中的一行的代码
2013/12/02 Javascript
javascript中attribute和property的区别详解
2014/06/05 Javascript
javascript使用shift+click实现选择和反选checkbox的方法
2015/05/04 Javascript
全面了解javascript中的错误处理机制
2016/07/18 Javascript
angular.js指令中transclude选项及ng-transclude指令详解
2017/05/24 Javascript
浅谈pc端rem字体设置的问题
2017/08/03 Javascript
jQuery实现条件搜索查询、实时取值及升降序排序的方法分析
2019/05/04 jQuery
在Python编程过程中用单元测试法调试代码的介绍
2015/04/02 Python
Python单链表简单实现代码
2016/04/27 Python
在Python的一段程序中如何使用多次事件循环详解
2017/09/07 Python
Tensorflow使用支持向量机拟合线性回归
2018/09/07 Python
Python实现的字典排序操作示例【按键名key与键值value排序】
2018/12/21 Python
对Python多线程读写文件加锁的实例详解
2019/01/14 Python
python同步两个文件夹下的内容
2019/08/29 Python
IE下实现类似CSS3 text-shadow文字阴影的几种方法
2011/05/11 HTML / CSS
英国邮购活的植物主要供应商:Gardening Direct
2019/01/28 全球购物
Jack Rogers官网:美国经典的女性鞋靴品牌
2019/09/04 全球购物
钳工实习自我鉴定
2013/09/19 职场文书
大学生物业管理求职信
2013/10/24 职场文书
管理部部长岗位职责
2013/12/05 职场文书
先进个人获奖感言
2014/01/24 职场文书
电话客服专员岗位职责
2014/06/28 职场文书
文化苦旅读书笔记
2015/06/29 职场文书
军训新闻稿范文
2015/07/17 职场文书
Go Plugins插件的实现方式
2021/08/07 Golang
浅谈mysql哪些情况会导致索引失效
2021/11/20 MySQL