您好,登錄后才能下訂單哦!
小編給大家分享一下html5中sign加密算法的示例分析,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!
淘寶對(duì)于h6的訪問(wèn)采用了和客戶端不同的方式,由于在h6的js代碼中保存appsercret具有較高的風(fēng)險(xiǎn),mtop采用了隨機(jī)分配令牌的方式,為每個(gè)訪問(wèn)端分配一個(gè)token,保存在用戶的cookie中,通過(guò)cookie帶回服務(wù)端分配的token, 客戶端利用分配的token對(duì)請(qǐng)求的URL參數(shù)生成摘要值sign,MTOP利用這個(gè)摘用值和cookie中的token來(lái)防止URL篡改。
流程
當(dāng)本地cookie中的token為空時(shí)(通常是第一次訪問(wèn)),mtop會(huì)收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌過(guò)期“這個(gè)錯(cuò)誤應(yīng)答,同時(shí)mtop會(huì)生成token寫入cookie中(response.cookies);
第二次請(qǐng)求時(shí),js通過(guò)讀取cookie中的token值,按照約定的算法生成sign, sign在mtop的請(qǐng)求中帶上,mtop通過(guò)cookie中和token用同樣的方式計(jì)算出sign,與請(qǐng)求的sign進(jìn)行比較,檢查通過(guò)將返回api的應(yīng)答,失敗提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法請(qǐng)求”;
cookie中的token是有時(shí)效性的,遇到token失效時(shí),將收到應(yīng)答"FAIL_SYS_TOKEN_EXOIRED:: 令牌過(guò)期", 同時(shí)會(huì)寫入新的token,js利用新的token重新計(jì)算sign并重發(fā)請(qǐng)求;
關(guān)于cookie中的token的自我檢查,由于token在cookie中是明文的,可能會(huì)被仿冒,在輸出的cookie中包含一個(gè)用非對(duì)稱密鑰的公鑰加密后的token, MTOP在每次請(qǐng)求時(shí)會(huì)先檢查cookie中的token是否是由服務(wù)端分配出去的(利用加密后的token和私鑰還原token,與回傳的明文token比較)
sign 生成
關(guān)于sign的生成公式:
md5Hex(token&t&appKey&data)
如:md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")
sign=4c1e7b6853fa7a5e1b8f7066ee22932f
實(shí)現(xiàn)代碼:
public static String calcSignature(String token, String timestamp, String appKey, String data) { return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&" + timestamp + "&" + appKey + "&" + data); } public static void main(String[] args) { String token="30dc68e5b4cf40ebd02fb05673c7e3b7"; String timestamp="1572522062317"; String sign = calcSignature(token, timestamp, "12345678", "{\"itemNumId\":\"1502111132496\"}"); System.out.println(sign); }
token
m_h6tk: 格式為 明文token_expireTime, 從response.cookies處獲取,如: 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317
token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
失效時(shí)間是 1572522062317
可封裝在一個(gè)類中負(fù)責(zé)存儲(chǔ)token
@Data @NoArgsConstructor @AllArgsConstructor @Builder public class Credentials implements Comparable<Credentials> { private String _m_h6_tk; private String _m_h6_tk_enc; private static final int OFFSET = 60000; public String getToken() { return StringUtils.isEmpty(_m_h6_tk) ? null : _m_h6_tk.substring(0, _m_h6_tk.indexOf("_")); } public long getExpireTimestamp() { long t = new Date().getTime() - OFFSET; if (StringUtils.isEmpty(_m_h6_tk) || StringUtils.isEmpty(_m_h6_tk_enc)) { return t; } try { return Long.parseLong(_m_h6_tk.substring(_m_h6_tk.indexOf("_") + 1)); } catch (NumberFormatException e) { return t; } } public boolean isExpired() { if (StringUtils.isEmpty(_m_h6_tk) || StringUtils.isEmpty(_m_h6_tk_enc)) { return true; } return new Date().getTime() > getExpireTimestamp(); } @Override public int compareTo(Credentials o) { return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp()); } }
t
很簡(jiǎn)單,即時(shí)間戳 通過(guò) new Date().getTime() 獲得
appKey
固定數(shù)值 通過(guò)抓包工具在請(qǐng)求參數(shù)中可獲得,參數(shù)名 appKey
data
提交的參數(shù) 通過(guò)抓包工具在請(qǐng)求參數(shù)中可獲得 通常是一個(gè)JSON字符串
以上是“html5中sign加密算法的示例分析”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助,如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。