淘宝h5 页面 sign加密算法

本文详细介绍了淘宝H5页面中用于防止URL篡改的Sign加密算法。当用户访问时,MTOP会为每个访问端分配一个token,保存在cookie中。之后,客户端利用token根据特定算法生成sign,与服务端计算的sign进行比较以验证请求合法性。当token过期或失效时,服务端会提供新的token,并且cookie中的token会使用非对称密钥加密,确保安全性。sign的生成公式为md5Hex(token&t&appKey&data)。
摘要由CSDN通过智能技术生成

1.淘宝sign加密算法

淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,

MTOP利用这个摘用值和cookie中的token来防止URL篡改。

2.流程

当本地cookie中的token为空时(通常是第一次访问),mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答,同时mtop会生成token写入cookie中(response.cookies)。
第二次请求时,js通过读取cookie中的token值,按照约定的算法生成sign, sign在mtop的请求中带上,mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较,检查通过将返回api的应答,失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”
cookie中的token是有时效性的,遇到token失效时,将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求。
关于cookie中的token的自我检查,由于token在cookie中是明文的,可能会被仿冒,在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的(利用加密后的token和私钥还原token,与回传的明文token比较)

3.sign 生成

关于sign的生成公式:

md5Hex(token&t&appKey&data)
如:md5Hex(“645d1f414d4914297dfaab40f3f76016 &1234&4272&{"itemNumId":"1500011132496"}”)

sign=d2b2f818a03496b296b899a230c03abd

token
关于cookie的有效时长,cookie的有效时长为7天,但是token的有效时长目前为60分钟

m_h5tk: 格式为 明文token_expireTime, 从response.cookies处获取,如: 2fcd2baa62fc60f73c0487a9f8a0a9d1_1362559577301

token就是2fcd2baa62fc60f73c0487a9f8a0a9d1

t
很简单,即时间戳 int(time.time()*1000)

appKey
一般是固定数值

data
一般是提交的参数

example

4.抠出js

function get_sign_demo(the_params_for_signing) {
    function t(e, t) {
        return e << t | e &
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值