• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    详解淘宝H5 sign加密算法

    淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,MTOP利用这个摘用值和cookie中的token来防止URL篡改。

    流程

    当本地cookie中的token为空时(通常是第一次访问),mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答,同时mtop会生成token写入cookie中(response.cookies);
    第二次请求时,js通过读取cookie中的token值,按照约定的算法生成sign, sign在mtop的请求中带上,mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较,检查通过将返回api的应答,失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”;

    cookie中的token是有时效性的,遇到token失效时,将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求;
    关于cookie中的token的自我检查,由于token在cookie中是明文的,可能会被仿冒,在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的(利用加密后的token和私钥还原token,与回传的明文token比较)

    sign 生成

    关于sign的生成公式:

    md5Hex(token&t&appKey&data)

    如:md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")

    sign=4c1e7b6853fa7a5e1b8f7066ee22932f

    实现代码:

    public static String calcSignature(String token, String timestamp, String appKey, String data) {
            return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
                    + timestamp + "&" + appKey + "&" + data);
        }
    
        public static void main(String[] args) {
            String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
            String timestamp="1572522062317";
            String sign = calcSignature(token, timestamp, "12345678", "{\&;itemNumId\&;:\&;1502111132496\&;}");
            System.out.println(sign);
        }
    
    

    token

    m_h5tk: 格式为 明文token_expireTime, 从response.cookies处获取,如: 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317

    token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
    失效时间是 1572522062317

    可封装在一个类中负责存储token

    @Data
    @NoArgsConstructor
    @AllArgsConstructor
    @Builder
    public class Credentials implements Comparable<Credentials> {
        private String _m_h5_tk;
        private String _m_h5_tk_enc;
    
        private static final int OFFSET = 60000;
    
        public String getToken() {
            return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
        }
    
        public long getExpireTimestamp() {
            long t = new Date().getTime() - OFFSET;
            if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
                return t;
            }
            try {
                return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
            } catch (NumberFormatException e) {
                return t;
            }
        }
    
        public boolean isExpired() {
            if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
                return true;
            }
            return new Date().getTime() > getExpireTimestamp();
        }
    
        @Override
        public int compareTo(Credentials o) {
            return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
        }
    }
    
    

    t
    很简单,即时间戳 通过 new Date().getTime() 获得

    appKey
    固定数值 通过抓包工具在请求参数中可获得,参数名 appKey

    data
    提交的参数 通过抓包工具在请求参数中可获得 通常是一个JSON字符串

    到此这篇关于详解淘宝H5 sign加密算法的文章就介绍到这了,更多相关淘宝H5 sign加密内容请搜索脚本之家以前的文章或继续浏览下面的相关文章,希望大家以后多多支持脚本之家!

    上一篇:AmazeUI 等分网格的实现示例
    下一篇:amazeui页面分析之登录页面的示例代码
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    详解淘宝H5 sign加密算法 详解,淘宝,sign,加密,算法,