Python根据传入参数生成签名

已于 2022-03-01 17:04:10 修改
阅读量2.4k 收藏 2
点赞数
分类专栏: Python 文章标签: python 网络 字符串 接口 加密
于 2020-08-05 15:42:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lly1122334/article/details/107815364
版权

文章目录

问题描述

Python根据传入参数生成签名




解决方案

nonce:仅一次有效随机字符串,客户端随机生成的值,作为参数传递过来,目的是增加sign签名的多变性。随机值一般是数字和字母的组合。实际使用时可以加上客户端的ip地址,mac地址等信息做个哈希

sign:签名参数,防止参数被非法篡改,最常见的是修改金额等敏感参数。sign的值一般是将所有非空参数按升序排序后+token+key+timestamp+nonce拼接在一起,再使用某种加密算法进行加密,作为接口中的一个参数sign或放在请求头中进行请求。 nonce可用简单随机数

接口在网络传输过程中如果被黑客挟持,并修改其中的参数值,然后再继续调用接口,虽然参数的值被修改了,但是因为黑客不知道sign是如何计算出来的,不知道sign都有哪些值构成,不知道以怎样的顺序拼接在一起的,最重要的是不知道签名字符串中的key是什么,所以黑客可以篡改参数的值,但没法修改sign的值,当服务器调用接口前会按照sign的规则重新计算出sign的值然后和接口传递的sign参数的值做比较,如果相等表示参数值没有被篡改,如果不等,表示参数被非法篡改了,就不执行接口了。




代码

为简略将token、key的参数去除,仅以参数升序+timestamp作加密

构造签名步骤:

  1. 对body升序排序
  2. 固有参数放入body和时间戳
  3. 对固有参数顺序排序
  4. 拼接固有参数得到签名字符串
  5. 加密算法计算签名字符串获得签名
  6. 将签名放入参数或请求头中
  7. 发送请求
import time
import json
import hashlib
import secrets


def sign(body: str, ts: int) -> str:
    '''构造签名

    :param body: 请求参数,JSON字符串
    :param ts: 时间戳,int类型
    :return: 签名字符串

    >>> sign('{"cityname":"苏州","dtype":"1","params":{"format":"1"}}', 1596666666)
    'bcd9e5778bff35f5689c47086895fbca'
    '''
    body = json.loads(body)
    body = {k: body[k] for k in sorted(body)}  # 对键值对排序(顺序)
    body = json.dumps(body, separators=(',', ':'), ensure_ascii=False)  # 转JSON字符串。不允许,和:后有空格

    args = {
        'key': 'Gjb9UH_OTflkGqLdLk-ofN_LF2TVch7xFrNZb1YJX3I',
        'timestamp': ts,
        'body': body
    }  # 固有参数,内容自行决定
    args = {k: args[k] for k in sorted(args)}  # 对键值对排序(顺序)

    sign = '&'.join(['{0}={1}'.format(k, v) for k, v in args.items()])  # 拼接签名字符串
    sign = hashlib.md5(sign.encode('utf-8')).hexdigest()  # md5算法
    return sign


if __name__ == '__main__':
    body = '{"cityname":"苏州","dtype":"1","params":{"format":"1"}}'  # 请求参数
    ts = 1596666666  # 时间戳
    print(sign(body, ts))  # 传入请求参数和时间戳生成签名
    ...  # 做后续请求







参考文献

  1. Java生鲜电商平台-API接口设计之token、timestamp、sign 具体架构与实现
  2. hashlib — 安全哈希与消息摘要
  3. 如何防止重放攻击
XerCis
关注
专栏目录
python 签名计算 请求参数签名
有勇气的牛排博客
04-16 958
签名计算 一般在支付或者下单时会用到签名计算,采用MD5加密 import hashlib api_token = '8922' gid = '10239' #下面sg的参数一般按照首字母的大小排序 sg = 'api_token=' + api_token + '&gid=' + gid sign = hashlib.md5(sg.encode(encoding='UTF-8')).h......
python实现无证书加密解密实例
12-25
本文实例讲述了python实现无证书加密解密的方法,分享给大家供大家参考。具体实现方法如下: 无证书加密就是双方不需要维护证书,加密与解密只需要双方约定一个key就可以,无证书加解密的方式应用更广泛一些,python官方也有这方面的相关例子说明,地址是:https://pypi.python.org/pypi/pycrypto,主要用的是from Crypto.Cipher import AES这个模块,代码如下: 复制代码 代码如下:”’ /** * AES加密字符串 * * @param string data 加密的串 * @param string key 密钥(只能是16、24、32
python接口自动化之接口签名参数
个人博客:https://www.wenbin.org.cn/
08-28 1060
接口签名规则 handle_transactionId_sign.py import uuid import datetime import hashlib class GenerateTransactionIdSign: # 系统编码,由生产系统分配 sysCode = 'S00101' # 应用编码,由生产系统分配 appCode = 'A00101' ...
python代码加签封装
庄小法的博客
09-27 280
# -*- coding=utf-8 -*- import hashlib import json import time import requests def get_sign(token=None, data={}): """ 获取签名方法 :param token: token :param timestamp: 时间戳 :param data: 请求参数 :return: 加密后sign,替换请求头sign """ timestamp = str(int(time.ti.
python有考的证书没有_python实现无证书加密解密实例
weixin_39655160的博客
12-24 77
本文实例讲述了python实现无证书加密解密的方法,分享给大家供大家参考。具体实现方法如下:无证书加密就是双方不需要维护证书,加密与解密只需要双方约定一个key就可以,无证书加解密的方式应用更广泛一些,python官方也有这方面的相关例子说明,地址是:https://pypi.python.org/pypi/pycrypto,主要用的是from Crypto.Cipher import AES这个...
python 参数传递的两种方式二 名称传递
学习笔记的博客
04-15 1314
代码如下: def fact(n,m): s=1 for i in range(1,n+1): s*=i return s//m a=fact(n=10,m=5) print(a) 运行结果:
Python-Api签名验证样例
08-10
本文将详细探讨Python中API签名验证的相关知识点,以"Python-Api签名验证样例"为例,结合`flask-apiSign-demo-master`这个压缩包中的示例代码进行解析。 签名验证的主要目的是防止数据被篡改、确保请求的来源可信...
python函数签名的方法详解
09-19
Python函数签名是对函数调用方式的一种描述,它包括函数所需的参数、它们的顺序、默认值以及参数类型等信息。在Python中,`inspect`模块提供了一系列工具来操作和获取函数签名,这对于理解和验证函数调用的正确性至...
python3中sorted函数里cmp参数改变详解
12-20
Python 2.x版本中,`sorted()`函数允许传递一个`cmp`参数,该参数接受一个比较函数,用于自定义元素之间的比较规则。然而,这种做法在Python 3.x中被废弃,主要原因是为了提高性能和简化语言设计。 在Python 2.x...
Python参数注解
qq_35976427的博客
04-23 1377
参数注解: 函数定义的弊端 为了解决动态语言定义的弊端     增加文档Documentation String         这只是一个管理,不是强制标准,不能要求程序员一定为函数提供说明文档         函数定义更新了,文档未必同步更新 def add(x,y): ''' :param x:int :param y:int :return:int ...
Python学习之 ---python参数类型注解
等风来的博客
04-23 2795
python参数类型注解 Python是动态语言,变量随时可以被赋值,且能赋值为不同的类型 Python不是静态编译型语言,变量类型是在运行期决定的 动态语言很灵活,但是这种特性也是弊端 def add(x, y): return x + y print(add(4, 5)) print(add('hello', 'world')) add(4, 'hello') #in...
python生成规定随机数,在Python生成随机数的标准方法是什么?
weixin_42525343的博客
11-25 391
Can someone share the best practices for creating a nonce for an OAuth request in Python?解决方案Here's how python-oauth2 does it:def generate_nonce(length=8):"""Generate pseudorandom number."""return ''....
Python 生成随机字符串的方法
工作中学习,学习中进步
11-08 1万+
random.sample 使用 random.sample指定字符生成随机字符串 listRandom = [0, 1, 2, 3, 4] str = random.sample(listRandom , 2) print(str ) str = random.sample(range(0, 9), 4) print(str) range(start, stop[, step]) 函数可创建一个整数列表 start: 计数从 start 开始。默认是从 0 开始。例如range(5)等价于rang
如何正确处理nonce
关于代码的那些事
09-14 8851
问题概述 以太坊系列(ETH&ETC)在发送交易有三个对应的RPC接口,分别是ethsendTransaction、ethsendRawTransaction和personal_sendTransaction。这三个接口发送(或构造发送内容时)都需要一个参数nonce。官方文档对此参数的解释是:整数类型,允许使用相同随机数覆盖自己发送的处于pending状态的交易。 官网解释 仅从官...
python生成随机字符串
冻梨不是梨的博客
07-30 569
import random import string ran_str = ''.join(random.sample(string.ascii_letters + string.digits, 11)) print ran_str  
nonce和timestamp在Http安全协议中的作用
weixin_30585437的博客
09-03 292
前段时间给客户网站做新浪微博账号登录功能,对OAuth协议以及相关的一些安全协议做了一些研究,顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了,而是针对OAuth请求头里的nonce(随机数)、timestamp(时间戳)、signatrue(签名)这些参数的作用做一下总结。 首先看一下HTTP规范里定义的Basic认证。 Basic认证及其安全问题 Basic认证...
Python3 对接微信
唐僧不爱八戒
04-18 999
# -*- coding: utf-8 -*- from wechatpy import WeChatClient import time import requests import hashlib import random import string class wxJdkParmasView(object): ''' 1, 此处官方文档明确提到用户需要缓存jsapi_tick...
关于以太坊的nonce
老杨QQ122209017的博客
04-12 6430
为了防止交易重播,ETH(ETC)节点要求每笔交易必须有一个nonce数值。每一个账户从同一个节点发起交易时,这个nonce值从0开始计数,发送一笔nonce对应加1。当前面的nonce处理完成之后才会处理后面的nonce。注意这里的前提条件是相同的地址在相同的节点发送交易。以下是nonce使用的几条规则:● 当nonce太小(小于之前已经有交易使用的nonce值),交易会被直接拒绝。● 当non...
Python requests post 提交form-data表单
热门推荐
米Py的自留地
08-22 12万+
问题: 对接接口,发现对方的接口使用form-data进行数据提交,直接使用requests库的data参数对接,会报参数错误: params = { 'timestamp':timestamp, 'nonce':nonce, 'apikey':APIKEY, 'signature': signature } data = { 'name': n...
Python3 Cookbook:利用装饰器为函数添加参数
"Python Cookbook 3rd Edition - 装饰器为被包装函数增加参数" 在Python编程中,装饰器是一种强大的工具,用于在不修改原函数代码的情况下,为函数添加额外的功能或修改其行为。标题提到的"装饰器为被包装函数增加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XerCis

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值