XHTMT HTML5 CSS HTML DOM
jQuery JSON AJAX LESS HTML Bootstrap Foundation AngularJS Ember.js TypeScript AngularJS2 React jQuery UI jQuery EasyUI Node.js Highcharts Echarts Vue.js CoffeeScript Ext.js Meteor SASS Omi Markdown 前端开发规范 浏览器 webpack JavaScript CSS3
用户登录
用户注册

分享至

详解淘宝H5 sign加密算法

  • 作者: 节奏79508113
  • 来源: 51数据库
  • 2021-09-03

淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的url参数生成摘要值sign,mtop利用这个摘用值和cookie中的token来防止url篡改。

流程

当本地cookie中的token为空时(通常是第一次访问),mtop会收到”fail_sys_token_exoired:: 令牌过期“这个错误应答,同时mtop会生成token写入cookie中(response.cookies);
第二次请求时,js通过读取cookie中的token值,按照约定的算法生成sign, sign在mtop的请求中带上,mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较,检查通过将返回api的应答,失败提示“fail_sys_illegal_access:: 非法请求”;

cookie中的token是有时效性的,遇到token失效时,将收到应答"fail_sys_token_exoired:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求;
关于cookie中的token的自我检查,由于token在cookie中是明文的,可能会被仿冒,在输出的cookie中包含一个用非对称密钥的公钥加密后的token, mtop在每次请求时会先检查cookie中的token是否是由服务端分配出去的(利用加密后的token和私钥还原token,与回传的明文token比较)

sign 生成

关于sign的生成公式:

md5hex(token&t&appkey&data)

如:md5hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemnumid":"1502111132496"}")

sign=4c1e7b6853fa7a5e1b8f7066ee22932f

实现代码:

public static string calcsignature(string token, string timestamp, string appkey, string data) {
        return digestutils.md5hex(stringutils.trimtoempty(token) + "&"
                + timestamp + "&" + appkey + "&" + data);
    }

    public static void main(string[] args) {
        string token="30dc68e5b4cf40ebd02fb05673c7e3b7";
        string timestamp="1572522062317";
        string sign = calcsignature(token, timestamp, "12345678", "{\"itemnumid\":\"1502111132496\"}");
        system.out.println(sign);
    }

token

m_h5tk: 格式为 明文token_expiretime, 从response.cookies处获取,如: 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317

token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
失效时间是 1572522062317

可封装在一个类中负责存储token

@data
@noargsconstructor
@allargsconstructor
@builder
public class credentials implements comparable<credentials> {
    private string _m_h5_tk;
    private string _m_h5_tk_enc;

    private static final int offset = 60000;

    public string gettoken() {
        return stringutils.isempty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexof("_"));
    }

    public long getexpiretimestamp() {
        long t = new date().gettime() - offset;
        if (stringutils.isempty(_m_h5_tk) || stringutils.isempty(_m_h5_tk_enc)) {
            return t;
        }
        try {
            return long.parselong(_m_h5_tk.substring(_m_h5_tk.indexof("_") + 1));
        } catch (numberformatexception e) {
            return t;
        }
    }

    public boolean isexpired() {
        if (stringutils.isempty(_m_h5_tk) || stringutils.isempty(_m_h5_tk_enc)) {
            return true;
        }
        return new date().gettime() > getexpiretimestamp();
    }

    @override
    public int compareto(credentials o) {
        return long.compare(o.getexpiretimestamp(), this.getexpiretimestamp());
    }
}

t
很简单,即时间戳 通过 new date().gettime() 获得

appkey
固定数值 通过抓包工具在请求参数中可获得,参数名 appkey

data
提交的参数 通过抓包工具在请求参数中可获得 通常是一个json字符串

到此这篇关于详解淘宝h5 sign加密算法的文章就介绍到这了,更多相关淘宝h5 sign加密内容请搜索以前的文章或继续浏览下面的相关文章,希望大家以后多多支持!

推荐阅读
热点文章

Copyright 2018 51数据库(www.51sjk.com)

软件
前端设计
程序设计
Java相关