详☏细说明淘宝网H5 sign数据加密优化算法

2021-03-23 18:20 jianzhan

淘宝网针对h5的浏览选用了和顾客端不一样的方法,因为在h5的js编码中储存appsercret具备较高的风险性,mtop选用了任意分派令牌的方法,为每一个浏览端分派一个token,储存再用户的cookie中,根据cookie带到服务端分派的token, 顾客端运用分派的token对恳求的URL主要参数转化成引言值sign,MTOP运用这一摘用值和cookie中的token来避免URL伪造。

步骤

当当地cookie中的token为空时(一般是第一次浏览),mtop会接到”FAIL_SYS_TOKEN_EXOIRED:: 令牌到期“这一不正确回复,同时mtop会转化成token载入cookie中(response.cookies);
第二次恳求时,js根据载入cookie中的token值,依照承诺的优化算法转化成sign, sign在mtop的恳求中携带,mtop根据cookie中合token用一样的方法测算出sign,与恳求的sign开展较为,查验根据将回到api的回复,不成功提醒“FAIL_SYS_ILLEGAL_ACCESS:: 不法恳求”;

cookie中的token是有时候效性的,碰到token无效时,将接到回复"FAIL_SYS_TOKEN_EXOIRED:: 令牌到期", 同时候载入新的token,js运用新的token再次测算sign并举发恳求;
有关cookie中的token的自身查验,因为token在cookie中是密文的,将会会被假冒,在輸出的cookie中包括一个用非对称性密匙的公匙数据加密后的token, MTOP在每一次恳求时候先查验cookie中的token是不是是由服务端分派出来的(运用数据加密后的token和私钥复原token,与回传的密文token较为)

sign 转化成

有关sign的转化成公式计算:

md5Hex(token&t&appKey&data)

如:md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&17&12345678&{"itemNumId":"96"}")

sign=4c1e7b6853fa7a5e1b8f7066ee22932f

完成编码:

public static String calcSignature(String token, String timestamp, String appKey, String data) {
        return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
                + timestamp + "&" + appKey + "&" + data);
    }

    public static void main(String[] args) {
        String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
        String timestamp="17";
        String sign = calcSignature(token, timestamp, "12345678", "{\"itemNumId\":\"96\"}");
        System.out.println(sign);
    }

token

m_h5tk: 文件格式为 密文token_expireTime, 从response.cookies处获得,如: 30dc68e5b4cf40ebd02fb05673c7e3b7_17

token便是 30dc68e5b4cf40ebd02fb05673c7e3b7
无效時间是 17

可封裝在一个类中承担储存token

@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class Credentials implements Comparable<Credentials> {
    private String _m_h5_tk;
    private String _m_h5_tk_enc;

    private static final int OFFSET = 60000;

    public String getToken() {
        return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
    }

    public long getExpireTimestamp() {
        long t = new Date().getTime() - OFFSET;
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return t;
        }
        try {
            return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
        } catch (NumberFormatException e) {
            return t;
        }
    }

    public boolean isExpired() {
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return true;
        }
        return new Date().getTime() > getExpireTimestamp();
    }

    @Override
    public int compareTo(Credentials o) {
        return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
    }
}

t
非常简单,及时间戳 根据 new Date().getTime() 得到

appKey
固定不动标值 根据抓包软件专用工具在恳求主要参数中可得到,主要参数名 appKey

data
递交的主要参数 根据抓包软件专用工具在恳求主要参数中可得到 一般是一个JSON标识符串

到此这篇有关详细说明淘宝网H5 sign数据加密优化算法的文章内容就详细介绍到这了,大量有关淘宝网H5 sign数据加密內容请检索脚本制作之家之前的文章内容或再次访问下边的有关文章内容,期待大伙儿之后多多的适用脚本制作之家!