CSDN博客接口基于java调用的x-ca-signature签名算法研究

已于 2024-03-22 16:04:41 修改
阅读量2.4k 收藏 8
点赞数 6
文章标签: 服务器 运维 安全 算法
于 2022-11-17 14:28:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/as350144/article/details/127899433
版权

写在前面

本人业余时间会写写CSDN的博客,查看下博客数据,展现量、阅读量什么的。在“作品数据-单篇文章分析”菜单中可以看到每篇文章的总体展现量、阅读量,要是想看每篇文章每日的访问量需要再次点击列表后边的“查看详情”显示的曲线图,一个一个点击着实有些麻烦,所以想通过调用接口的方式返回数据,把每篇文章的每日数据存起来,再设置个定时任务,就解放双手了。

找到的参考代码都是python的,没有java的,自己编码后在这里记录一下。

 接口选择

点击“单篇文章分析”,可以得到每篇文章的总体展现、阅读量,那么使用某篇文章的阅读量减去昨天此文章的阅读量,就是每日的访问量了,也不需要调用每篇文章的数据的接口,新建的文章也都能自动获取到了。

head分析

在每次请求接口的时候都会在请求头中传入cookie;x-ca-key;x-ca-nonce;x-ca-signature;x-ca-signature-headers这五个参数。简单的分析不难得出x-ca-key和x-ca-signature-headers是两个固定值,cookie是登录后的标识,会保持数天不变。而x-ca-signature和x-ca-signature-headers 每次请求的时候都不同,这就有点难顶了

进一步分析

进一步分析下上述5个参数如何生成的,cookie没什么好说的。

通过查看js源代码,搜索x-ca-key的值,看到下边这个方法

X-Ca-Key是固定的

X-Ca-Nonce最终通过De函数生成

X-Ca-Signature由方法名称、url、参数、固定值等计算获得

X-Ca-Nonce生成方法

    private static List<String> chats = new ArrayList<>();

    static {
        //生成 [a, b, c, d, e, f, g, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9]
        for (int i = 0; i < 7; i++) {
            char c = (char) (i + 97);
            chats.add(String.valueOf(c));
        }
        for (int i = 0; i < 10; i++) {
            char c = (char) (i + 48);
            chats.add(String.valueOf(c));
        }
    }
    /**
     * 获取一次性访问key,参考js方法:
     * De = function() {
          return "xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx".replace(/[xy]/g, (function(e) {
          var t = 16 * Math.random() | 0,
          n = "x" === e ? t: 3 & t | 8;
          return n.toString(16)
      }))}
     *
     * @return
     */
    private static String onceKey() {
        List<String> strs = new ArrayList<>();
        Random rd = new Random();
        for (int i = 0; i < 30; i++) {
            strs.add(chats.get(rd.nextInt(chats.size())));
        }
        return String.format("%s%s%s%s%s%s%s%s-%s%s%s%s-4%s%s%s-9%s%s%s-%s%s%s%s%s%s%s%s%s%s%s%s", strs.toArray());
    }

X-Ca-Signature生成方法

这里特别需要注意的是在生成x-ca-signature时,POST请求和GET请求并不相同,我们需要区分处理。最明显的两个区别是请求方法Method不同,content_type不同,下面POST方法并没有写完

private static String sign(String fullUrl, String method, String onceKey) throws Exception {
        final String ekey = "9znpamsyl2c7cdrr9sas0le9vbc3r6ba";
        final String xcakey = "203803574"; // 开发工具 network 请求头 x-ca-key

        String[] wholdUrl = fullUrl.split("\\?");
        String url, params = "";
        if ("get".equals(method)) {
            url = wholdUrl[0];
            params = wholdUrl[1];
        } else {
            url = wholdUrl[0];
        }
        String _url = url + (!"".equals(params) ? "?" + params : "");
        String to_enc = "";
        if ("get".equals(method)) {
            to_enc = String.format("GET\napplication/json, text/plain, */*\n\n\n\nx-ca-key:%s\nx-ca-nonce:%s\n%s", xcakey, onceKey, _url);
        } else {
             to_enc = String.format("POST\n%s\n\n%s\n\nx-ca-key:%s\nx-ca-nonce:%s\n%s"
                    , "application/json, text/plain, */*", "application/json;charset=UTF-8", xcakey, onceKey, _url);
        }
        return getSHA256StrJava(to_enc, ekey);
    }

    private static String getSHA256StrJava(String content, String secret) throws Exception {
        Mac mac = Mac.getInstance("HmacSHA256");
        SecretKeySpec secret_key = new SecretKeySpec(secret.getBytes(), "HmacSHA256");
        mac.init(secret_key);
       // System.out.println("key: " + secret + " | 内容是:\n" + content);
        byte[] binaryData = mac.doFinal(content.getBytes());
        return Base64.encodeBase64String(binaryData);
    }

执行接口调用

       <dependency>
            <groupId>com.squareup.okhttp3</groupId>
            <artifactId>okhttp</artifactId>
            <version>4.8.1</version>
        </dependency>
//GET举例,我发布的文章列表
 public JSONObject getAllMyArticle() throws Exception {
        String host = "https://bizapi.csdn.net";
        String path = "/blog/phoenix/console/v1/data/single-article-list?action=down&page=1&size=40&type=date";
        String onceKey = onceKey();
        String sign = sign(path, "get", onceKey);
        OkHttpClient client = new OkHttpClient();
        Request request = new Request.Builder()
                .url(host + path)
                .addHeader("Accept", "application/json, text/plain, */*")
                // .addHeader("Accept-Encoding", "gzip, deflate, br") //若有设置,response为乱码
                .addHeader("Accept-Language", "zh-CN,zh;q=0.9")
                .addHeader("Connection", "keep-alive")
                .addHeader("user-agent", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.0.0 Safari/537.36")
                .addHeader("origin", "https://mp.csdn.net")
                .addHeader("referer", "https://mp.csdn.net/mp_blog/analysis/article/single")
                .addHeader("sec-ch-ua", "\"Google Chrome\";v=\"105\", \"Not)A;Brand\";v=\"8\", \"Chromium\";v=\"105\"")
                .addHeader("sec-ch-ua-mobile", "?0")
                .addHeader("sec-ch-ua-platform", "\"Windows\"")
                .addHeader("sec-fetch-dest", "empty")
                .addHeader("sec-fetch-mode", "cors")
                .addHeader("sec-fetch-site", "same-site")
                .addHeader("uri-name", "feige")
                //登录后的cokie
                .addHeader("cookie", cookie)
                .addHeader("x-ca-key", "203803574")  //根据浏览器开发者工具请求头设置
                .addHeader("x-ca-nonce", onceKey) //请求1次后作废
                .addHeader("x-ca-signature", sign) // 根据url、排序参数、onceKey、加密key,使用HmacSHA256算法生成的摘要
                .addHeader("x-ca-signature-headers", "x-ca-key,x-ca-nonce") //根据浏览器开发者工具请求头设置
                .build();
        Response response = client.newCall(request).execute();
        response.header("content-type", "application/json;charset=utf-8");
//        出现错误可以将此打开获取报错内容
//        System.out.println(response);
//        System.out.println(response.header("X-Ca-Error-Message"));
        String responseData = response.body().string();
       // System.out.println(responseData);
        return JSONObject.parseObject(responseData);
    }
//POST举例,修改个人信息
public static JSONObject updateMyInfo(JSONObject requestBodyStr) throws Exception {
        MediaType mediaType = MediaType.parse("application/json;charset=UTF-8");//!!!这个要大写
        RequestBody requestBody = RequestBody.create(requestBodyStr.toJSONString(),mediaType);
        String host = "https://bizapi.csdn.net";
        String path = "/community-personal/v1/edit-userInfo";
        String onceKey = onceKey();
        String sign = sign(path, "post", onceKey);
        OkHttpClient client = new OkHttpClient();
        Request request = new Request.Builder()
                .url(host + path)
                .addHeader("Accept", "application/json, text/plain, */*")
                // .addHeader("Accept-Encoding", "gzip, deflate, br") //若有设置,response为乱码
                .addHeader("Accept-Language", "zh-CN,zh;q=0.9")
                .addHeader("Connection", "keep-alive")
                .addHeader("Content-Type", "application/json;charset=UTF-8")
                .addHeader("User-Agent", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36")
                .addHeader("Origin", "https://i.csdn.net")
                .addHeader("Referer", "https://i.csdn.net/")
                .addHeader("Sec-Ch-Ua", "\"Google Chrome\";v=\"105\", \"Not)A;Brand\";v=\"8\", \"Chromium\";v=\"105\"")
                .addHeader("Sec-Ch-Ua-Mobile", "?0")
                .addHeader("Sec-Ch-Ua-Platform", "\"Windows\"")
                .addHeader("Sec-Fetch-Dest", "empty")
                .addHeader("Sec-Fetch-Mode", "cors")
                .addHeader("Sec-Fetch-Site", "same-site")
                .addHeader("uri-name", "feige")
                //登录后的cokie
                .addHeader("cookie", cookie)
                .addHeader("X-Ca-Key", xcakey)  //根据浏览器开发者工具请求头设置
                .addHeader("X-Ca-Nonce", onceKey) //请求1次后作废
                .addHeader("X-Ca-Signature", sign) // 根据url、排序参数、onceKey、加密key,使用HmacSHA256算法生成的摘要
                .addHeader("X-Ca-Signature-Headers", "x-ca-key,x-ca-nonce") //根据浏览器开发者工具请求头设置
                .post(requestBody)
                .build();
        Response response = client.newCall(request).execute();
        response.header("content-type", "application/json;charset=utf-8");
//        出现错误可以将此打开获取报错内容
//        System.out.println(response);
//        System.out.println(response.header("X-Ca-Error-Message"));
        String responseData = response.body().string();
     /*   System.out.println("--------------------------------");
        System.out.println(responseData);*/
        return JSONObject.parseObject(responseData);
    }

这里特别注意,生成X-Ca-Signature传入的path是不带域名的,且url的参数部分需要按照字母顺序升序排列,header里其他参数使用浏览器的的,否则容易出错

X-Ca-Signature签名排错方法

打开response的输出,获取header中X-Ca-Error-Message会返回具体的错误信息。如下图会提示正确的签名生成方式,将自己的重新调整就好,因为HTTP Header中无法表示换行,因此返回信息中的换行符都被替换成#,反过来传参时# 号使用 \n 替换

 总结

需要注意cookie会过期问题。工具本质上不难,就是调用CSDN的接口。难点主要是在于请求头中x-ca-nonce和x-ca-signature这两个参数比较难搞。搞定了这两个参数后面的调用逻辑就比较简单。比如本人使用今天获取的数据与前一天的数据做差,计算出每篇文章昨日访问量数据。

as350144
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
请求头 x-ca-key、x-ca-nonce、x-ca-signature 加密分析第一篇
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
01-28 4354
x-ca-key、x-ca-nonce、x-ca-signature 相关说明 寻找 x-ca-key、x-ca-nonce、x-ca-signature 加密位置 提取关键加密逻辑 X-Ca-Key 解析 x-ca-nonce 解析 x-ca-signature 解析
X-Ca-Key是什么技术
keyboard专栏
07-01 366
X-Ca-Key是阿里云 API 网关中的一个关键 HTTP 请求头字段,用于标识客户端的访问密钥,并与其他安全机制共同确保 API 请求的安全性和完整性。了解和正确使用这些头字段对于确保您的 API 连接安全至关重要。
Java接口sign签名和sign验签处理
qq_44749121的博客
05-11 449
1.Java接口sign签名工具类。
用nodejs配合python破解X-Ca-Signature,抓取博客积分数据
kiramario的博客
04-13 1934
世界上最稀缺的资源是时间。 在某一瞬间我惊恐得发现,一生三万天,已过三分之一,念及年少不更事,蹉跎而过,觉得心中有愧。至今无建树,脑袋里想起一句话,“不因虚度年华而悔恨,也不因碌碌无为而羞耻”。 如今发起少年狂,对一切都感起兴趣,深知往者不可谏,来着犹可追。空有胸中之宏远,奈何路漫漫其修远,深感无力,只有择一事,写点博客吧!来一点点弥补辜负的少年时光。 目录准备积分接口代码nodejspython更多方法 准备 安装nodejs,安装fiddler,配置抓取https(后来我想到可以直接用chrome的.
阿里云调用api验证身份 签名 post传送文件
weixin_42061531的博客
02-21 851
package com.poster.wx.utils; import com.alibaba.cloudapi.sdk.constant.HttpConstant; import com.alibaba.cloudapi.sdk.constant.SdkConstant; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import org.apache.commons.codec.binary.Bas.
java 电子签章 开源_java操作pdf制作电子签章 - CSDN博客
weixin_29290963的博客
02-24 2581
java操作pdf制作电子签章电子签章简介电子签章,与我们所使用的数字证书一样,是用来做为身份验证的一种手段,泛指所有以电子形式存在,依附在电子文件并与其逻辑关联,可用以辨识电子文件签署者身份,保证文件的完整性,并表示签署者同意电子文件所陈述事实的内容。一般来说,对电子签章的认定,都是从技术角度而言的。主要是指通过特定的技术方案来鉴别当事人的身份及确保交易资料内容不被篡改的安全保障措施。从广义上讲...
海康威视-综合安防管理平台(iSecure Center)签名规则C#
Qin066的博客
07-07 3948
海康开放平台海康威视合作生态致力打造一个能力开放体系、两个生态圈,Hikvision AI Cloud开放平台是能力开放体系的核心内容。它是海康威视基于多年在视频及物联网核心技术积累之上,融合AI、大数据、云计算等技术,为合作伙伴提供的一个二次开发及创新的平台。https://open.hikvision.com/docs/docId?productId=5c67f1e2f05948198c909700&version=%2Ff95e951cefc54578b523d1738f65f0a1&curNodeI
学习记录:fabric-ca(2)-operations guide
ychyssss的专栏
04-25 342
前情提要 说明 前面看了user guide,主要是对CA服务器CA客户端的说明,包括但不限于命令行。这次主要是操作指南,这个说的是在已经知道了CA服务器如何使用的情况下,和Fabric如何结合起来,也就是为fabric中的各个节点提供加密材料,证书啊、私钥啊之类的。 在本指南中,您将看到建立包括两个组织的区块链网络的过程,每个组织都有2个节点和1个排序节点。 您将看到如何为排序节点(orderer),普通节点(peer),管理员(administrator)和最终用户(end user)生成加密材料,以
如何批量查询自己的CSDN博客质量分
郝老三~~~~~~~~~~~~~
05-13 3036
不将就是发现的原动力。将自己的url地址一个一个的CV到CSDN给的查询博客质量分的界面上也可以查询自己的博客质量分。如果我选择了将就,那我就不会研究如何去通过代码实现批量查询自己的博客质量分的功能,也就少去了一个学习的机会,学习RestTemplate怎么使用,怎么导出Excel表的机会。大家可以通过这篇文章,批量查询自己的博质量,帮助我们修改我们原有博客的平均质量。
国家医保的线上支付接口,需要签名算法SM2、加密算法SM4
07-04 5695
根据SM2算法Signature的algorithm选择SM3withSM2),签名报文。通过对报文数据筛选、排序和拼接,组成待签名报文数据。获取所有请求参数,不包括字节类型参数,如文件、字节流,剔除signData、encData、extra字段。将筛选的参数按照第一个字符的键值ASCII码递增排序(字母升序排序),如果遇到相同字符则按照第二个字符的键值ASCII码递增排序,以此类推。将排序后的参数与其对应值,组合成“参数=参数值”的格式,并且把这些参数用&字符连接起来,最后拼接上应用密钥appSecr
CSDN博客接口基于Java调用的x-ca-signature签名算法研究.zip
04-25
在每次请求接口的时候都会在...简单的分析不难得出x-ca-key和x-ca-signature-headers是两固定值,x-ca-nonce是个随机串,核心就是x-ca-signature的计算,本地基于Java实现,有实测代码,有js分析,也有总结,希望能够帮到大家
JavaCSDN中的x-ca-signature签名算法研究.zip
04-26
CSDN中的x-ca-signature签名算法研究Java版,包括源代码,笔记,源代码为springboot项目,获取签名算法工具类已封装好,可直接调用,可参考单元测试部分,笔记分成结论,java代码总结,核心js分析(js分析不敢兴趣的直接忽视...
csdn的x-ca-nonce和x-ca-signature算法破解实例.rar
09-11
这个"csdn的x-ca-nonce和x-ca-signature算法破解实例"可能包含了具体的代码示例,演示了如何在Python、JavaJavaScript或其他编程语言中实现这个过程。 学习和理解这种安全机制对于任何使用或开发API的开发者都至...
Java实现CSDN博客安全头x-ca-nonce与x-ca-signature的生成与测试.zip
04-29
CSDN博客的API接口调用中,为了增强请求的安全性,采用了"x-ca-nonce"和"x-ca-signature"这两个特定的头部字段。本文将深入探讨如何使用Java实现这两个字段的生成与测试。 首先,我们来看"x-ca-nonce"。这个字段...
深入探究CSDN博客安全机制:Java实现x-ca-nonce与x-ca-signature生成.zip
04-29
x-ca-signature的生成涉及到签名算法,常见的有HMAC(Hash-based Message Authentication Code)系列算法,如HMAC-SHA1、HMAC-SHA256等。这些算法结合了哈希函数和密钥,可以对消息进行签名,以验证消息的完整性和...
本地部署VMware ESXi服务实现无公网IP远程访问管理服务器
最新发布
weixin_44976692的博客
07-26 4055
在虚拟化技术日益成熟的今天,VMware ESXi以其卓越的性能和稳定性,成为了众多企业构建虚拟化环境的首选。然而,随着远程办公和跨地域管理的需求增加,如何高效地远程访问和管理部署在本地数据中心的ESXi服务器,成为了企业IT部门面临的重要挑战。传统的远程访问方式往往受限于网络配置复杂、IP地址固定以及安全性能不足等问题,难以满足现代企业对于灵活、安全、高效的远程管理需求。为了解决这一难题,我们可以借助Cpolar内网穿透技术,将本地ESXi服务器的访问能力扩展到公网,实现随时随地的远程访问和管理。
项目部署到服务器
2301_80034662的博客
07-25 455
下载MobaXterm。
Linux基础命令
weixin_68540670的博客
07-25 1884
Linux中一切从根开始Linux中一切皆文件。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

as350144

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值