淘宝h5 页面 sign加密算法

最新推荐文章于 2024-06-14 14:20:53 发布
最新推荐文章于 2024-06-14 14:20:53 发布
阅读量1.6k 收藏 12
点赞数 2
文章标签: python java cookie jwt session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gqv2009/article/details/120513500
版权

1.淘宝sign加密算法

淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,

MTOP利用这个摘用值和cookie中的token来防止URL篡改。

2.流程

当本地cookie中的token为空时(通常是第一次访问),mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答,同时mtop会生成token写入cookie中(response.cookies)。
第二次请求时,js通过读取cookie中的token值,按照约定的算法生成sign, sign在mtop的请求中带上,mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较,检查通过将返回api的应答,失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”
cookie中的token是有时效性的,遇到token失效时,将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求。
关于cookie中的token的自我检查,由于token在cookie中是明文的,可能会被仿冒,在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的(利用加密后的token和私钥还原token,与回传的明文token比较)

3.sign 生成

关于sign的生成公式:

md5Hex(token&t&appKey&data)
如:md5Hex(“645d1f414d4914297dfaab40f3f76016 &1234&4272&{"itemNumId":"1500011132496"}”)

sign=d2b2f818a03496b296b899a230c03abd

token
关于cookie的有效时长,cookie的有效时长为7天,但是token的有效时长目前为60分钟

m_h5tk: 格式为 明文token_expireTime, 从response.cookies处获取,如: 2fcd2baa62fc60f73c0487a9f8a0a9d1_1362559577301

token就是2fcd2baa62fc60f73c0487a9f8a0a9d1

t
很简单,即时间戳 int(time.time()*1000)

appKey
一般是固定数值

data
一般是提交的参数

example

4.抠出js

function get_sign_demo(the_params_for_signing) {
    function t(e, t) {
        return e << t | e &
最低0.47元/天 解锁文章
俊晗
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
详解淘宝H5 sign加密算法
11-19
淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,MTOP利用这个摘用值和cookie中的token来防止URL篡改。
【爬虫】关于淘宝sign参数生成算法
热门推荐
广埠屯小拉登的博客
09-14 1万+
 关于淘宝的数据抓取,可能涉及到的一个参数就是signsign的值是有一个计算公式的,基于已有的经验,知道这种参数一般多是会保存在js文件里的。 (1)在淘宝页面,打开开发者工具(F12),然后搜索sign,一个个查找在哪里出现的sign的赋值 …忽略搜索过程,可以发现在sign计算关键代码在mtop.js 中,也就是 (https://g.alicdn.com/mtb/lib-mtop/2....
Python 爬取淘宝指定搜索商品评论 标题 销量 计算sign
最新发布
这个人很懒什么都没有留下
06-14 166
只需要替换原来的Cookie和token即可使用,自动计算对应链接地址的sign直接使用即可。需要注意是一个账号爬取过多会有验证码。
【app爬虫】某宝详情页《问大家》数据采集分析
爱python的王三金
03-04 2418
背景介绍 问大家这个版块对于卖家和买家都有很重要的作用。 就买家来说,现在越来越依赖“问大家”作为参考。里面的问题很多都直接指向产品质量和服务质量,从而判断是否值得购买。 但是同时对于卖家来说也直接影响到产品的转化,通过问题和答案可以很好地反映出当前产品的优点和不足,所以做好一板块至关重要。 接口分析 抓包 由于手机tb有链接分享功能,所以可跳过app抓包,直接复制链接到浏览器打开,通过谷歌浏览器开发者工具的帮助可对接口请求进行分析采集。 1、打开手机淘宝,随意浏览个宝贝 2、进入宝贝详情页,进入问大家主
php json_decode 不支持的模式
08-18 3151
php json_decode 不支持的模式 mtopjsonp1({"api":"com.taobao.search.api.getShopItemList","v":"2.0","ret":["FAIL_SYS_ILLEGAL_ACCESS::非法请求"],"data":{}}) php json_decode 不支持的模式 最前面有名称 mtopjsonp1
在前端爬虫或者插件中,淘宝API/接口调用里签名算法sign是如何实现的?
guoqkmiss的博客
03-08 4118
淘宝API/接口调用里签名算法 sign 在做插件或者爬虫调用淘宝接口或者淘宝API 的时候,都需要一个叫 sign 的签名字段,淘宝叫他API输入参数签名结果,一般是一个 md5 加密之后的签名。 为了防止API调用过程中被黑客恶意篡改,调用任何一个API都需要携带签名,TOP服务端会根据请求参数,对签名进行验证,签名不合法的请求将会被拒绝。 TOP目前支持的签名算法有三种:MD5(sign_method=md5),HMAC_MD5(sign_method=hmac),HMAC_SHA256(sign_
淘宝sign加密算法
崔斯特的博客
08-14 2269
淘宝sign加密算法淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个tok...
11,js逆向(sing的加密)
m0_74739916的博客
02-05 1227
11,js逆向(sing的加密)
请求数据通过URL加入sign验证加密与解密
墨的博客
03-28 2763
通过生成sign对网络请求进行加密的算法案例分析
淘宝API sign加密
09-09
淘宝API的签名(sign)加密是安全访问淘宝开放平台(Taobao Open Platform, 简称TOP)的关键步骤。在使用淘宝客API SDK时,开发者需要正确实现签名算法以确保请求的有效性和安全性。这个过程涉及到一系列的技术细节,...
易语言-H5 Tao宝Sign算法
06-26
易语言-H5 Tao宝Sign算法是针对网络编程中的一种安全机制,主要应用于电子商务平台,如淘宝,以确保数据传输过程中的完整性和安全性。在H5应用中,Sign算法是用来验证请求参数的有效性,防止数据被篡改。下面将详细...
H5Tao宝Sign算法-易语言
06-14
H5Tao宝Sign算法】是用于在H5页面淘宝接口交互时验证请求完整性和安全性的关键机制。在电子商务领域,特别是涉及到用户敏感信息的传输时,这种签名算法至关重要,可以防止数据被篡改,确保交易的安全。易语言是...
常见加密分类以及接口sign签名
qq_23095607的博客
06-07 3923
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客
淘宝x-sign算法demo示例
m0_71316877的博客
06-16 1004
用xposed hook这个方法就可以拿到对应的签名,需要可以留言
淘宝sign算法分析
weixin_40105002的博客
02-11 579
这是h方法的实现,应该是对MD5算法的修改,var O = m(t) + m(u) + m(v) + m(w);最终结果长度与MD5长度一样。其中调用参数:h(d.token + "&" + i + "&" + g + "&" + c.data)可以利用openai将算法的js代码转成目标代码,这里推荐一个免费的AI工具:poe.com。token:应该是_m_h5_tk去除时间戳。c.data:应该是payload。
js逆向第1例:淘宝逛逛H5页面SIGN加密算法
花臂不花Home
02-09 1503
淘宝sign加密算法在其旗下很多网站都存在,而且都是一个套路魔改md5算法。利用浏览器的控制面板搜索功能全局搜索sign关键字,找到位置打上断点。从sign的位数,大概能判断是md5 32位加密。发现这段代码非常像md5的代码,只是魔改过了。最后需要找到加密前的值,进行测试代码。发现 sign 是 j生成的。接下来就是搞定 h函数。
对象拼接 请求路径_阿里云帮助中心-阿里云,领先的云计算服务提供商
weixin_39716971的博客
12-19 1347
请求 MNaas API 网关服务的 JS SDK。当前版本: 1.0.0快速入门引入目前仅支持源码引入的方式。请复制代码至您的工程目录下。假设您已将名为 mtopee.js 的文件放入 src 文件中,以下方式均可使用 mtopee 的变量:注:下列示例的路径目录可能与您工程的路径不同,请注意文件路径通过 html 文件的 script 元素引入,同时 mtopee.js 会注册全局变量 mto...
2019年末逆向复习系列之淘宝M站Sign参数逆向分析
zhangge3663的博客
11-18 1195
郑重声明:本项目的所有代码和相关文章, 仅用于经验技术交流分享,禁止将相关技术应用到不正当途径,因为滥用技术产生的风险与本人无关。 这篇文章是《2019年末逆向复习系列》的第一篇:《淘宝M站Sign参数逆向分析》 本次案例的代码都已上传到Review_Reverse上面,后面会持续更新,大家可以Fork一波。 逆向背景 淘宝网的爬取大概是每一个爬虫工程师入行以来的终极目标之一了,如何自动化登录淘宝?如何模拟操纵淘宝网的滑块?相信这是很多爬虫群经久不息的话题了。我们这次的案例是逆向Web版的淘宝网.
淘宝sign易语言源码
10-24
淘宝sign易语言源码是指一种使用易语言编写的用于生成淘宝签名的源代码。淘宝签名是淘宝开放平台提供的一种身份验证方式,开发者在访问淘宝开放平台接口时需要携带签名信息以确保接口的安全性。 淘宝sign易语言源码的主要功能是根据开发者的应用密钥和其他必要参数,生成符合淘宝签名规则的签名字符串。在生成签名过程中,需要按照一定的规则对参数进行排序并进行拼接,然后使用HMAC-SHA1算法对拼接后的字符串进行加密,最后将加密结果进行Base64编码即可得到最终的签名字符串。 使用淘宝sign易语言源码,开发者可以方便地生成符合淘宝签名规则的签名字符串,以便在调用淘宝开放平台接口时进行身份验证。此源码可以在易语言环境中进行编译,并通过调用相关函数来生成签名字符串。 总之,淘宝sign易语言源码是一种帮助开发者生成淘宝签名的源代码,可以提供方便快捷的签名生成功能,确保接口的安全性。开发者可以根据自己的需求和环境,使用该源码进行二次开发和适配。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值