首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 HTML / CSS

详解淘宝H5 sign加密算法

Posted in HTML / CSS onAugust 25, 2020

淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,MTOP利用这个摘用值和cookie中的token来防止URL篡改。

流程

当本地cookie中的token为空时(通常是第一次访问),mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答,同时mtop会生成token写入cookie中(response.cookies);
第二次请求时,js通过读取cookie中的token值,按照约定的算法生成sign, sign在mtop的请求中带上,mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较,检查通过将返回api的应答,失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”;

cookie中的token是有时效性的,遇到token失效时,将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求;
关于cookie中的token的自我检查,由于token在cookie中是明文的,可能会被仿冒,在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的(利用加密后的token和私钥还原token,与回传的明文token比较)

sign 生成

关于sign的生成公式:

md5Hex(token&t&appKey&data)

如:md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")

sign=4c1e7b6853fa7a5e1b8f7066ee22932f

实现代码:

public static String calcSignature(String token, String timestamp, String appKey, String data) {
        return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
                + timestamp + "&" + appKey + "&" + data);
    }

    public static void main(String[] args) {
        String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
        String timestamp="1572522062317";
        String sign = calcSignature(token, timestamp, "12345678", "{\"itemNumId\":\"1502111132496\"}");
        System.out.println(sign);
    }

token

m_h5tk: 格式为 明文token_expireTime, 从response.cookies处获取,如: 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317

token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
失效时间是 1572522062317

可封装在一个类中负责存储token

@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class Credentials implements Comparable<Credentials> {
    private String _m_h5_tk;
    private String _m_h5_tk_enc;

    private static final int OFFSET = 60000;

    public String getToken() {
        return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
    }

    public long getExpireTimestamp() {
        long t = new Date().getTime() - OFFSET;
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return t;
        }
        try {
            return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
        } catch (NumberFormatException e) {
            return t;
        }
    }

    public boolean isExpired() {
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return true;
        }
        return new Date().getTime() > getExpireTimestamp();
    }

    @Override
    public int compareTo(Credentials o) {
        return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
    }
}

t
很简单,即时间戳 通过 new Date().getTime() 获得

appKey
固定数值 通过抓包工具在请求参数中可获得,参数名 appKey

data
提交的参数 通过抓包工具在请求参数中可获得 通常是一个JSON字符串

到此这篇关于详解淘宝H5 sign加密算法的文章就介绍到这了,更多相关淘宝H5 sign加密内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章,希望大家以后多多支持三水点靠木!

详解淘宝H5 sign加密算法

- Author -

wx-lily_19941214

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

HTML / CSS 相关文章推荐
CSS伪类与CSS伪元素的区别及由来具体说明
Dec 07 HTML / CSS
CSS3之背景尺寸Background-size使用介绍
Oct 14 HTML / CSS
一款CSS3实现多功能下拉菜单(带分享按)的教程
Nov 05 HTML / CSS
一款纯css3实现的tab选项卡的实列教程
Dec 11 HTML / CSS
关于css兼容性问题及一些常见问题汇总
May 03 HTML / CSS
CSS3实现渐变背景兼容问题
May 06 HTML / CSS
html5 canvas-2.用canvas制作一个猜字母的小游戏
Jan 07 HTML / CSS
html5 迷宫游戏(碰撞检测)实例一
Jul 25 HTML / CSS
HTML5中判断用户是否正在浏览页面的方法
May 03 HTML / CSS
canvas实现高阶贝塞尔曲线(N阶贝塞尔曲线生成器)
Jan 10 HTML / CSS
html粘性页脚的具体使用
Jan 18 HTML / CSS
css让页脚保持在底部位置的四种方案
Jul 23 HTML / CSS
AmazeUI 等分网格的实现示例
Aug 25 #HTML / CSS
AmazeUI 点击元素显示全屏的实现
Aug 25 #HTML / CSS
AmazeUI 按钮交互的实现示例
Aug 24 #HTML / CSS
amazeui页面校验功能的实现代码
Aug 24 #HTML / CSS
amazeui树节点自动展开折叠面板并选中第一个树节点的实现
Aug 24 #HTML / CSS
如何使用amaze ui的分页样式封装一个通用的JS分页控件
Aug 21 #HTML / CSS
Canvas波浪花环的示例代码
Aug 21 #HTML / CSS
i5 9400(1) React(6) R72E(1) ipad(1) GTX1660(1) i5 10400(1) i7 6700(1) 对讲机(1) win10(43) win11(40)
You might like
hessian 在PHP中的使用介绍
2010/12/13 PHP
解析PHP缓存函数的使用说明
2013/05/10 PHP
yii框架通过控制台命令创建定时任务示例
2014/04/30 PHP
php防止站外远程提交表单的方法
2014/10/20 PHP
PHP中in_array函数使用的问题与解决办法
2016/09/11 PHP
Redis构建分布式锁
2017/03/28 PHP
laravel框架之数据库查出来的对象实现转化为数组
2019/10/23 PHP
浅谈PHP中的那些魔术常量
2020/12/02 PHP
Ajax一统天下之Dojo整合篇
2007/03/24 Javascript
JQuery自适应IFrame高度(支持嵌套 兼容IE,ff,safafi,chrome)
2011/03/28 Javascript
JS 屏蔽键盘不可用与鼠标右键不可用的方法
2013/11/18 Javascript
js获取下拉列表框中的value和text的值示例代码
2014/01/11 Javascript
老生常谈原生JS执行环境与作用域
2016/11/22 Javascript
jQuery动态添加元素无法触发绑定事件的解决方法分析
2018/01/02 jQuery
js中时间格式化的几种方法
2018/07/22 Javascript
vue中使用cookies和crypto-js实现记住密码和加密的方法
2018/10/18 Javascript
vue elementUI使用tabs与导航栏联动
2019/06/21 Javascript
Vue 实现点击空白处隐藏某节点的三种方式(指令、普通、遮罩)
2019/10/23 Javascript
vue实现计步器功能
2019/11/01 Javascript
JS字符串补全方法padStart()和padEnd()
2020/05/27 Javascript
[05:35]DOTA2英雄梦之声_第13期_拉比克
2014/06/21 DOTA
python进程管理工具supervisor使用实例
2014/09/17 Python
Python程序中用csv模块来操作csv文件的基本使用教程
2016/03/03 Python
简单讲解Python中的字符串与字符串的输入输出
2016/03/13 Python
Python实现的圆形绘制(画圆)示例
2018/01/31 Python
Python FFT合成波形的实例
2019/12/04 Python
Python实现多线程下载脚本的示例代码
2020/04/03 Python
Godiva巧克力英国官网:比利时歌帝梵巧克力
2018/08/28 全球购物
英国最大的在线时尚眼镜店:Eyewearbrands
2019/03/12 全球购物
市场营销专业推荐信
2013/11/03 职场文书
母亲节演讲稿
2014/05/27 职场文书
演讲稿开场白台词
2014/08/25 职场文书
社区党支部公开承诺书
2015/04/29 职场文书
演讲稿之我的初心我的成长
2019/08/12 职场文书
浅谈Python基础之列表那些事儿
2021/05/11 Python
日本动漫十大公认神作:第五现已全网禁播,《死亡笔记》在榜
2022/03/18 日漫