詳解淘寶H5 sign加密算法

發(fā)布時(shí)間：2020-08-25 16:43:50 作者：wx-lily_19941214

這篇文章主要介紹了詳解淘寶H5 sign加密算法，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

淘寶對于h5的訪問采用了和客戶端不同的方式，由于在h5的js代碼中保存appsercret具有較高的風(fēng)險(xiǎn)，mtop采用了隨機(jī)分配令牌的方式，為每個(gè)訪問端分配一個(gè)token，保存在用戶的cookie中，通過cookie帶回服務(wù)端分配的token, 客戶端利用分配的token對請求的URL參數(shù)生成摘要值sign,MTOP利用這個(gè)摘用值和cookie中的token來防止URL篡改。

流程

當(dāng)本地cookie中的token為空時(shí)（通常是第一次訪問），mtop會收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌過期“這個(gè)錯(cuò)誤應(yīng)答，同時(shí)mtop會生成token寫入cookie中（response.cookies）；
第二次請求時(shí)，js通過讀取cookie中的token值，按照約定的算法生成sign, sign在mtop的請求中帶上，mtop通過cookie中和token用同樣的方式計(jì)算出sign,與請求的sign進(jìn)行比較，檢查通過將返回api的應(yīng)答，失敗提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法請求”；

cookie中的token是有時(shí)效性的，遇到token失效時(shí)，將收到應(yīng)答"FAIL_SYS_TOKEN_EXOIRED:: 令牌過期", 同時(shí)會寫入新的token,js利用新的token重新計(jì)算sign并重發(fā)請求；
關(guān)于cookie中的token的自我檢查，由于token在cookie中是明文的，可能會被仿冒，在輸出的cookie中包含一個(gè)用非對稱密鑰的公鑰加密后的token, MTOP在每次請求時(shí)會先檢查cookie中的token是否是由服務(wù)端分配出去的（利用加密后的token和私鑰還原token，與回傳的明文token比較）

sign 生成

關(guān)于sign的生成公式：

md5Hex(token&t&appKey&data)

如：md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")

sign=4c1e7b6853fa7a5e1b8f7066ee22932f

實(shí)現(xiàn)代碼：

public static String calcSignature(String token, String timestamp, String appKey, String data) {
        return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
                + timestamp + "&" + appKey + "&" + data);
    }

    public static void main(String[] args) {
        String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
        String timestamp="1572522062317";
        String sign = calcSignature(token, timestamp, "12345678", "{\"itemNumId\":\"1502111132496\"}");
        System.out.println(sign);
    }

token

m_h5tk: 格式為明文token_expireTime, 從response.cookies處獲取，如： 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317

token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
失效時(shí)間是 1572522062317

可封裝在一個(gè)類中負(fù)責(zé)存儲token

@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class Credentials implements Comparable<Credentials> {
    private String _m_h5_tk;
    private String _m_h5_tk_enc;

    private static final int OFFSET = 60000;

    public String getToken() {
        return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
    }

    public long getExpireTimestamp() {
        long t = new Date().getTime() - OFFSET;
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return t;
        }
        try {
            return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
        } catch (NumberFormatException e) {
            return t;
        }
    }

    public boolean isExpired() {
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return true;
        }
        return new Date().getTime() > getExpireTimestamp();
    }

    @Override
    public int compareTo(Credentials o) {
        return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
    }
}

t
很簡單，即時(shí)間戳通過 new Date().getTime() 獲得

appKey
固定數(shù)值通過抓包工具在請求參數(shù)中可獲得，參數(shù)名 appKey

data
提交的參數(shù) 通過抓包工具在請求參數(shù)中可獲得通常是一個(gè)JSON字符串

到此這篇關(guān)于詳解淘寶H5 sign加密算法的文章就介紹到這了,更多相關(guān)淘寶H5 sign加密內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持腳本之家！