快捷導(dǎo)航

Flask接口簽名sign原理與實(shí)例代碼淺析

更新時(shí)間：2023年02月11日 16:00:00 作者：高冷的王哈哈

這篇文章主要介紹了Flask接口簽名sign原理與實(shí)例代碼，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)吧

作用

防止有人不停的刷接口，對(duì)接口作限制

比如說，登錄接口，按道理說，應(yīng)該只有app會(huì)請(qǐng)求這個(gè)接口

但是，如果有人抓取app的請(qǐng)求，就會(huì)得到登錄接口的地址和請(qǐng)求參數(shù)

如果他寫了個(gè)腳本，不斷的訪問登錄接口，去測登錄名密碼，那么有些有些用戶的密碼策略過于簡單，是很容易被試出來的

所以，接口簽名就是專門用來限制這個(gè)的，只有app(自己人)才能通過校驗(yàn)

原理

1.服務(wù)器和app，各自存儲(chǔ)一個(gè)相同的秘鑰

2.app請(qǐng)求時(shí)，把傳的參數(shù)用秘鑰進(jìn)行加密，生成一個(gè)sign簽名，一同傳遞過去

3.服務(wù)器接到請(qǐng)求后，也會(huì)對(duì)傳遞的參數(shù)進(jìn)行加密，也生成一個(gè)sign簽名，拿服務(wù)器生成的sign和接口請(qǐng)求的sing比對(duì)一下，如果相同，那么就可以證明，是自己人請(qǐng)求的，就予以放行

因?yàn)檫@個(gè)秘鑰，只有自己人才會(huì)有，同樣的秘鑰生成的sign簽名，肯定是一模一樣的

這個(gè)秘鑰，一般是開發(fā)的時(shí)候，線下給到app開發(fā)，集成編譯到app里面的

問題

舉例，app和服務(wù)器，各自保存了一個(gè)秘鑰，進(jìn)行簽名驗(yàn)證

1.app請(qǐng)求登錄接口，賬號(hào)名為abcd，密碼為123456，

2.app對(duì)賬戶名和密碼用秘鑰加密生成簽名，去請(qǐng)求登錄接口

3.服務(wù)器收到請(qǐng)求，對(duì)賬號(hào)名和密碼也用秘鑰加密生成簽名，對(duì)比發(fā)現(xiàn)簽名一致，然后予以通過

4.請(qǐng)求成功

問題1

但是，如果下次app還去請(qǐng)求登錄的時(shí)候，生成的簽名，是不是還是一模一樣？

因?yàn)槎际菍?duì)賬號(hào)和密碼加密生成簽名，那么只要賬號(hào)和密碼不變，那么生成的簽名肯定是一模一樣的

那如果壞人直接抓包拿到簽名、賬號(hào)和密碼，是不是他也可以仿造登錄請(qǐng)求，要知道，服務(wù)器只接受請(qǐng)求，他是分辨不出來的

所以，即使是相同的賬號(hào)和密碼，也要保證，每次的簽名都不一致

解決辦法

在對(duì)賬號(hào)和密碼進(jìn)行加密的時(shí)候，生成當(dāng)前時(shí)間的時(shí)間戳，一起加密，這樣就保證了每次生成的簽名都一樣了

傳遞參數(shù)的時(shí)候，也需要把加密用的時(shí)間戳一同傳遞過去，因?yàn)檎?qǐng)求時(shí)候延遲的，服務(wù)器并不知道你是哪個(gè)時(shí)間進(jìn)行加密的

那么現(xiàn)在生成簽名和請(qǐng)求的步驟就是：

1.app先對(duì)賬號(hào)、密碼、時(shí)間戳，用秘鑰進(jìn)行加密得到簽名

2.app請(qǐng)求登錄接口，傳參：賬號(hào)、密碼、時(shí)間戳、簽名

問題2

那么問題又來了，跟剛才的問題一樣，如果有人抓包，得到賬號(hào)、密碼、時(shí)間戳、簽名，然后去偽造請(qǐng)求，是不是服務(wù)器還會(huì)通過？

只要賬號(hào)、密碼、時(shí)間戳不變化，那么生成的簽名，還是一模一樣的。

解決辦法

服務(wù)器對(duì)時(shí)間戳進(jìn)行校驗(yàn)，與當(dāng)前時(shí)間不能相差10秒

這樣就保證了，這個(gè)簽名的有效期只有10秒，過了10秒后，就失效了

如果想要新的簽名，那么就需要用新的時(shí)間戳了

代碼

如果需要傳遞很多參數(shù)的時(shí)候，還需要對(duì)參數(shù)進(jìn)行排序后再加密，要不然app和服務(wù)器用了不一樣的字符串加密，校驗(yàn)還是會(huì)失敗的

import hashlib  
import time  
salt = 'nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5'  # 鹽, 加密生成簽名的秘鑰  
def validate_sign(sign, ts, **kwargs):  
    """時(shí)間戳有效期10秒，排序順序?yàn)椋蝴}+時(shí)間戳+按照字母排序的參數(shù)的值"""  
    # 首先判斷ts時(shí)間戳，有沒有超過10秒有效期  
    now_ts = int(time.time())  
    if now_ts - int(ts) > 10:  
        return False  
    # 對(duì)字典中的鍵進(jìn)行排序  
    sort_dict = sorted(kwargs.items(), key=lambda x: x[0])  
    # 按照排序拿出值，拼接成字符串，然后加密生成簽名  
    s = salt + str(ts)  
    for key, value in sort_dict:  
        s += str(value)  
    # 使用sha256加密，與app也要約定好加密方式  
    new_sign = hashlib.sha256(s.encode('utf-8')).hexdigest()  
    # 比對(duì)簽名是否一致  
    if sign == new_sign:  
        return True  
    return False  
validate_sign(1, int(time.time()), phone="15555555555", password="123456")  
# 排序后的字符串：nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5167541269212345615555555555  
# 生成的簽名: d87f2833c1f6a1d0d3c67bafdeb0965b0503385dce615662229b27333c9963f7

到此這篇關(guān)于Flask接口簽名sign原理與實(shí)例代碼淺析的文章就介紹到這了,更多相關(guān)Flask接口簽名sign內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: