编程 HTML / CSS

详解淘宝H5 sign加密算法

Posted in HTML / CSS onAugust 25, 2020

淘宝对于h5的访问采用了和客户端不同的方式，由于在h5的js代码中保存appsercret具有较高的风险，mtop采用了随机分配令牌的方式，为每个访问端分配一个token，保存在用户的cookie中，通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,MTOP利用这个摘用值和cookie中的token来防止URL篡改。

流程

当本地cookie中的token为空时（通常是第一次访问），mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答，同时mtop会生成token写入cookie中（response.cookies）；
第二次请求时，js通过读取cookie中的token值，按照约定的算法生成sign, sign在mtop的请求中带上，mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较，检查通过将返回api的应答，失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”；

cookie中的token是有时效性的，遇到token失效时，将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求；
关于cookie中的token的自我检查，由于token在cookie中是明文的，可能会被仿冒，在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的（利用加密后的token和私钥还原token，与回传的明文token比较）

sign 生成

关于sign的生成公式：

md5Hex(token&t&appKey&data)

如：md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")

sign=4c1e7b6853fa7a5e1b8f7066ee22932f

实现代码：

public static String calcSignature(String token, String timestamp, String appKey, String data) {
        return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
                + timestamp + "&" + appKey + "&" + data);
    }

    public static void main(String[] args) {
        String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
        String timestamp="1572522062317";
        String sign = calcSignature(token, timestamp, "12345678", "{\"itemNumId\":\"1502111132496\"}");
        System.out.println(sign);
    }

token

m_h5tk: 格式为明文token_expireTime, 从response.cookies处获取，如： 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317

token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
失效时间是 1572522062317

可封装在一个类中负责存储token

@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class Credentials implements Comparable<Credentials> {
    private String _m_h5_tk;
    private String _m_h5_tk_enc;

    private static final int OFFSET = 60000;

    public String getToken() {
        return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
    }

    public long getExpireTimestamp() {
        long t = new Date().getTime() - OFFSET;
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return t;
        }
        try {
            return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
        } catch (NumberFormatException e) {
            return t;
        }
    }

    public boolean isExpired() {
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return true;
        }
        return new Date().getTime() > getExpireTimestamp();
    }

    @Override
    public int compareTo(Credentials o) {
        return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
    }
}

t
很简单，即时间戳通过 new Date().getTime() 获得

appKey
固定数值通过抓包工具在请求参数中可获得，参数名 appKey

data
提交的参数通过抓包工具在请求参数中可获得通常是一个JSON字符串

到此这篇关于详解淘宝H5 sign加密算法的文章就介绍到这了,更多相关淘宝H5 sign加密内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章，希望大家以后多多支持三水点靠木！

详解淘宝H5 sign加密算法

- Author -

wx-lily_19941214

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

HTML / CSS 相关文章推荐

纯CSS3实现图片无间断轮播效果

Aug 25 HTML / CSS

css3中background新增的4个新的相关属性用法介绍

Sep 26 HTML / CSS

css3实现画半圆弧线的示例代码

Nov 06 HTML / CSS

利用CSS3动画实现圆圈由小变大向外扩散的效果实例

Sep 10 HTML / CSS

让ie浏览器成为支持html5的浏览器的解决方法(使用html5shiv)

Apr 08 HTML / CSS

HTML5 移动页面自适应手机屏幕四类方法总结

Aug 17 HTML / CSS

HTML5 input新增type属性color颜色拾取器的实例代码

Aug 27 HTML / CSS

data:image data url 文件转为Blob上传后端的方法

Jul 16 HTML / CSS

详解移动端h5页面根据屏幕适配的四种方案

Apr 15 HTML / CSS

详解如何使用rem或viewport进行移动端适配

Aug 14 HTML / CSS

AmazeUI 面板的实现示例

Aug 17 HTML / CSS

CSS中Single Div 绘图技巧的实现

Jun 18 HTML / CSS

AmazeUI 等分网格的实现示例

Aug 25 #HTML / CSS

AmazeUI 点击元素显示全屏的实现

Aug 25 #HTML / CSS

AmazeUI 按钮交互的实现示例

Aug 24 #HTML / CSS

amazeui页面校验功能的实现代码

Aug 24 #HTML / CSS

amazeui树节点自动展开折叠面板并选中第一个树节点的实现

Aug 24 #HTML / CSS

如何使用amaze ui的分页样式封装一个通用的JS分页控件

Aug 21 #HTML / CSS

Canvas波浪花环的示例代码

Aug 21 #HTML / CSS

You might like

PHP实现MVC开发得最简单的方法――模型

2007/04/10 PHP

php目录管理函数小结

2008/09/10 PHP

Yii使用find findAll查找出指定字段的实现方法

2014/09/05 PHP

php数组转成json格式的方法

2015/03/09 PHP

js模拟弹出效果代码修正版

2008/08/07 Javascript

JavaScript学习笔记（十）

2010/01/17 Javascript

.net,js捕捉文本框回车键事件的小例子(兼容多浏览器)

2013/03/11 Javascript

jQuery的控件及事件(输入控件及回车事件)使用示例

2013/07/25 Javascript

JS中三目运算符和if else的区别分析与示例

2014/11/21 Javascript

JSONP之我见

2015/03/24 Javascript

js实现简洁的滑动门菜单(选项卡)效果代码

2015/09/04 Javascript

js Canvas绘制圆形时钟效果

2017/02/17 Javascript

nodejs个人博客开发第六步数据分页

2017/04/12 NodeJs

基于JavaScript实现数码时钟效果

2020/03/30 Javascript

聊聊Vue.js的template编译的问题

2017/10/09 Javascript

vux uploader 图片上传组件的安装使用方法

2018/05/15 Javascript

javascript将非数值转换为数值

2018/09/13 Javascript

解决vue移动端适配问题

2018/12/12 Javascript

JS实现容器模块左右拖动效果

2020/01/14 Javascript

python练习程序批量修改文件名

2014/01/16 Python

跟老齐学Python之通过Python连接数据库

2014/10/28 Python

关于python列表增加元素的三种操作方法

2018/08/22 Python

Python生成指定数量的优惠码实操内容

2019/06/18 Python

pytorch程序异常后删除占用的显存操作

2020/01/13 Python

Python如何给你的程序做性能测试

2020/07/29 Python

python用tkinter实现一个简易能进行随机点名的界面

2020/09/27 Python

详解HTML5之pushstate、popstate操作history,无刷新改变当前url

2017/03/15 HTML / CSS

MADE荷兰：提供原创设计师家具

2018/04/03 全球购物

Eagle Eyes Optics鹰眼光学：高性能太阳镜

2018/12/07 全球购物

中国一家综合的外贸B2C电子商务网站：DealeXtreme(DX)

2020/03/10 全球购物

美国在线购买空气净化器、除湿器、加湿器网站：AllergyBuyersClub

2021/03/16 全球购物

学校领导班子成员查摆问题及整改措施

2014/10/28 职场文书

2014年大学班长工作总结

2014/11/14 职场文书

开学第一天的感想

2015/08/10 职场文书

springboot拦截器无法注入redisTemplate的解决方法

2021/06/27 Java/Android

python装饰器代码解析

2022/03/23 Python