http signature参数笔记

最新推荐文章于 2024-04-27 10:54:31 发布
最新推荐文章于 2024-04-27 10:54:31 发布
阅读量836 收藏 3
点赞数
文章标签: http python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cameback_Tang/article/details/131010314
版权

1、关于“http请求中signature参数的作用”,ChatGPT回复如下:

HTTP请求中的signature参数通常用于验证请求的真实性和完整性。具体而言,signature是一种加密字符串,通常使用哈希算法或其他加密算法生成,用于对请求中的某些数据进行签名。

当服务器收到带有signature参数的请求时,它可以使用相同的算法对请求中的数据进行签名,然后将其与请求中的signature参数进行比较。如果两者相等,则表明请求是从预期的发送方发送的,并且请求中的数据没有被篡改。

通常,signature参数用于保护敏感数据,例如用户身份验证令牌或支付信息,以确保这些数据不会被恶意用户篡改或窃取。

2、关于“HTTP请求中的signature参数的值是怎么生成的?”,ChatGPT回复如下:

HTTP请求中的signature参数通常是用来验证请求的合法性和完整性的参数。具体的生成方式取决于使用的签名算法和具体实现方式,以下是一个常见的做法:

1. 在请求中添加一个时间戳参数,用于防止重放攻击。

2. 将请求中除了signature参数外的所有参数按照字典序排序,并将它们按照key1=value1&key2=value2的格式拼接成一个字符串。

3. 在字符串末尾加上一个秘密的密钥,用于防止篡改。

4. 对拼接好的字符串进行签名,常见的签名算法有MD5、SHA1、HMAC等。

5. 将签名结果作为signature参数的值添加到请求中。

接收方可以按照同样的方式生成签名,然后将生成的签名与请求中的signature参数进行比较,以判断请求的合法性和完整性。

3、关于“请提供python代码,用于生成http请求中的signature参数”,得到答复如下:

import hashlib
import hmac
import urllib.parse

def generate_signature(secret_key, params):
    """
    生成HTTP请求中的signature参数
    :param secret_key: str,API密钥的私钥部分
    :param params: dict,HTTP请求中的所有参数,包括除signature以外的所有参数
    :return: str,生成的signature参数的值
    """
    # 将参数按照ASCII码升序排列,并用&符号拼接起来
    sorted_params = '&'.join(['{}={}'.format(k, v) for k, v in sorted(params.items())])

    # 将请求字符串和API密钥的私钥部分拼接起来
    sign_str = '{}{}'.format(sorted_params, secret_key)

    # 使用SHA256算法计算签名结果
    signature = hmac.new(secret_key.encode('utf-8'), sign_str.encode('utf-8'), hashlib.sha256).hexdigest()

    # 将signature参数的值进行URL编码
    signature_encoded = urllib.parse.quote_plus(signature)

    return signature_encoded


# 使用示例python
# 定义API密钥的私钥部分
secret_key = 'your_secret_key'

# 定义HTTP请求中的所有参数
params = {
    'param1': 'value1',
    'param2': 'value2',
    # ...
}

# 生成signature参数的值
signature = generate_signature(secret_key, params)

# 将signature参数的值加入HTTP请求中
params['signature'] = signature

# 发送HTTP请求
# ...

4、注意到代码中没有时间戳参数,得到补充:

在主程序中,我们使用time库获取当前时间戳,并将其乘以1000来将其转换为毫秒级别的时间戳。

timestamp = int(time.time() * 1000)

5、但是不同的网站,signature的生成算法和私有秘钥是不同的,如何获取生成算法和秘钥?

通过浏览器F12启动开发者工具,搜索关键词“signature”,设置断点进行调试,详情请参考文章:

js逆向:【硬干货】手把手实战某条_signature参数破解(上)

js逆向:【硬干货】手把手实战某条_signature参数破解(中)

js逆向:【硬干货】手把手实战某条_signature参数破解(下)

 

 6、我这边的应用场景就是加入秘钥后的字典,排序拼接后进行SHA256算法,没有遇到参考文献中的复杂情况,相关代码如下:

import requests
import time
import json
import urllib3
import base64
urllib3.disable_warnings()
import hashlib
import urllib


def __get_sha256_sign(raw_data):
    sorted_data = sorted(raw_data.items(), key=lambda x: x[0])
    data = '&'.join(f'{k}={v}' for k, v in sorted_data)
    s = hashlib.sha256(data.encode())
    return s.hexdigest()

def get_current_timestamp(unit=None):
    """
    获取当前时间戳
    unit : 1-秒(s);2-毫秒(ms);
    """
    now = time.time()  # 返回float数据
    if unit == 1:
        now = int(now)
    elif unit == 2:
        now = int(round(now * 1000))
    return now

def get_http_signature(url, account=''):
    path = urllib.parse.urlparse(url).path
    timestamp = get_current_timestamp(unit=2)
    uri = path[1:]
    raw_data = {
        'account': account,
        'timestamp': timestamp,
        'key': "ZKp8j7L6XoCHMeuA",  # private string
        'uri': uri
    }
    signature = __get_sha256_sign(raw_data)
    signature = f"account={account}&timestamp={timestamp}&signature={signature}"
    return signature

if __name__ == "__main__":
    HEADERS_PORTAL = {
        "Content-Type": "application/json",
        'signature': 'account=&timestamp=1660532797891&signature=415af605fd2346a6da9f54704197730f6e1c88b38daf006cd6224d9b3be13a1f',
    }
    url_login = 'https://xxx'
    data_login = {
        "account": "aaaaa",
        "password": "xxxxx",
    }
    HEADERS_PORTAL['signature'] = get_http_signature(url_login, account='aaaaa')
    html = requests.post(url_login, data=json.dumps(data_login), headers=HEADERS_PORTAL)
    print(html)
    print(html.json())

Cameback_Tang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
http-signature-header
05-07
HTTP签名标头(http-signature-header) 一个用于创建和验证HTTP签名标头JavaScript库 目录 背景 安装 要在本地安装(用于开发): git clone https://github.com/digitalbazaar/http-signature-header.git cd http-signature-header npm install 用法 const { createAuthzHeader , createSignatureString } = require ( 'http-signature-header' ) ; const requestOptions = { url , method : 'POST' , headers } const includeHeaders = [ 'expires' , 'host' , '(
http通过数字签名加密方式进行post请求
提拉米苏
06-21 2787
我们有时候需要跟别的系统进行数据的对接。例如,别人提供数据接口,我们需要通过数字加密方式进行post的请求获取数据,这篇文章针对这个展开。其中,数据的方式是json格式,希望对你们有所帮助。直接上代码: 日志打印: private static Logger log = Logger.getLogger(ReformTools.class); post请求: public static Stri...
node-http-signature: 安全的HTTP请求签名
gitblog_00090的博客
03-15 226
node-http-signature: 安全的HTTP请求签名库 在现代Web应用中,我们常常需要处理敏感数据和执行重要操作。为了确保这些操作的安全性和可靠性,我们需要采用一种可靠的方法来验证HTTP请求的来源和内容。node-http-signature就是这样一款库,它可以帮助我们在Node.js环境中实现安全的HTTP请求签名。 项目简介 node-http-signature是一款用于...
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 7212
java sign签名认证
关于参数签名的总结
持之以恒
04-18 8247
刚刚工作2~3年,我们搞java或是php(这里省略很多语言)开发年轻人,前几年开发的时候总会碰到一些和第三方对接的任务,例如第三方交易的支付宝、微信(心累,文档里面有很多排序和参数大小写错误的问题),再或是聊天软件的融云、环信,再或是地图的高德等。 他们虽然说大部分功能都提供SDK,简化接入者的工作量,让接入者只关系调用(自己只需要组织业务),不需要太过关心安全方面的问题,但是有些功能(接口)还
http请求签名生成算法
瑾修的博客
12-02 742
http请求签名生成算法、 lua & golang
HttpMessageSigning:通过使用数字签名HTTP消息添加身份验证和消息完整性
03-21
HttpMessageSigning IETF Internet草案的“授权”方案的AC#实现。 它包含: HTTP请求签名服务。 HTTP请求签名验证服务。 用于ASP.NET Core应用程序的身份验证中间件。 用于OWIN应用程序的身份验证中间件。 用于将已知客户端存储在内存中的扩展。 用于在MongoDb中存储已知客户端的扩展。 有关更多详细信息,请参见 。 动机 当使用HTTP协议在Internet上进行通信时,可能需要服务器或客户端对特定消息的发送者进行身份验证。还可能需要确保消息在传输过程中未被篡改。签署HTTP消息Internet草案描述了一种服务器和客户端通过使用数字签名同时向HTTP消息添加身份验证和消息完整性的方法。 该存储库是该规范的C#实现。 NuGet 常见的 该程序包包含用于签名和验证程序包的共享组件。它仅作为基本软件包。 签收 此程序包包含启用签名H
jquery.signature画布签名
zhouwuxing5的博客
04-27 554
先引入jquery.signature.js(引入js地址项目里面的,需要修改).数据库保存字段是:mediumtext类型 <script type="text/javascript" src="${context}/hqenv/js/jquery/jquery.signature.js?v=${getResourceTime('/static/hqenv/js/jquery/jquery.signature.js')}"></script> //前端页面代码 <div
Web前后端笔记-vue封装http请求添加signature及后端(Java)解析并验证
IT1995的博客
05-18 2592
首先帖下运行截图: 签名过期情况: 签名错误情况: 这里npm要导入js-md5,并且在main.js中添加 import md5 from 'js-md5' Vue.prototype.$md5 = md5; 首先来看下前端代码: import axios from 'axios' axios.defaults.timeout = 35 * 1000; /** * Get方法 * @param {*} url * @param {*} params */ e...
http接口签名机制
Monten_Cristo的博客
06-26 2487
第三方接口
基于signature的电子签名.zip
06-22
本例是基于signature插件实现电子签名的书写、展示、签名图片保存功能
signature verification.rar_signature
07-15
GGHNNBFFT66RR2WFU77IIMNJOLHGF
http-signature-middleware
04-27
http-signature-middleware
alidns-signature:生成Ali DNS云API请求签名
05-18
alidns-signature 阿里云DNS开放API签名生成工具 Usage npm i alidns-signature -S const http = require('http') const querystring = require('querystring') const Signature = require('alidns-signature') const sign = new Signature({ accessKeyId: '', accessKeySecret: '' }) // 获取解析记录API的专有参数 let query = sign.getReqParams({ Action: 'DescribeDomainRecords', DomainName: 'example.com' }) http.get('http://a
HTTPSignatures:一个Burp Suite扩展,实现了Signing HTTP Messages草稿-ietf-httpbis-message-signatures-01草稿
05-05
HTTPSignatures Burp Suite扩展 HTTPSignatures是Burp Suite扩展,它实现了Signing HTTP Messages规范草稿文档。 这使Burp Suite用户可以无缝测试需要HTTP签名的应用程序。 特征 当扩展名检测到现有的HTTP签名标头时,会自动在Burp Repeater,Intruder和Scanner中创建新的签名和摘要。 支持rsa-sha256算法用于签名的消息( RSASSA-PKCS1-v1_5 [ ]使用SHA-256 [ ])和SHA-256的摘要头部。 该扩展程序可在Burp Suite Professional和免费的Burp Suite社区版中使用。 用法 安装 下载文件,然后通过“扩展器”选项卡/“扩展” /“添加”将其添加到Burp Suite中。 配置 加载扩展后,新的HTTP签名菜单项将添加到Bu
httpsign:签署HTTP消息中间件
05-01
httpsign 基于对消息中间件进行。 例子 package main import ( "github.com/gin-contrib/httpsign" "github.com/gin-contrib/httpsign/crypto" "github.com/gin-gonic/gin" ) func main () { // Define algorithm hmacsha256 := & crypto. HmacSha256 {} hmacsha512 := & crypto. HmacSha512 {} // Init define secret params readKeyID := httpsign . KeyID ( "read" ) writeKeyID := httpsign . KeyID ( "write" ) secrets := http
Linux:http配置用户登录认证访问网页
最新发布
fox_kang的博客
04-27 243
【代码】Linux:http配置用户登录认证访问网页。
如何用JS校验HTTPHTTPS地址
qq_43474235的博客
04-21 420
在日常开发过程中,我们有时候对某些应用功能进行封装,但是在请求接口又不能写死,这个时候我们需要对他进行多方面考虑。
斗鱼广告signature参数计算错误怎么办
09-07
如果你正在使用斗鱼的广告 API,而且在计算 signature 参数时出现了错误,你可以尝试以下解决方法: 1. 确认你的算法实现是否正确:斗鱼的 API 文档中会给出 signature 的计算方法,请仔细阅读并确认你的算法实现是否正确。 2. 确认你使用的 API 参数是否正确:如果你使用的 API 参数不正确,那么你计算出的 signature 也可能是错误的。请检查你使用的 API 参数是否与斗鱼的 API 文档中的参数名称和参数值完全一致。 3. 确认你的 appId 和 appSecret 是否正确:如果你的 appId 和 appSecret 不正确,那么你计算出的 signature 也可能是错误的。请确认你的 appId 和 appSecret 是否与斗鱼的 API 文档中的值完全一致。 4. 尝试重新获取 appId 和 appSecret:如果你的 appId 和 appSecret 已经损坏或者丢失,那么你计算出的 signature 也可能是错误的。如果你已经尝试了前面的解决方法,并且还是无法解决问题,那么你可以尝试重新获取 appId 和 appSecret。 如果你仍然无法解决问题,可以尝试联系斗鱼的技术支持团队。他们将会帮

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值