前端安全 - 小程序接口token加密

最新推荐文章于 2024-05-01 12:30:43 发布
最新推荐文章于 2024-05-01 12:30:43 发布
阅读量3.4k 收藏 4
点赞数
分类专栏: # 前端安全 文章标签: 前端 安全 javascript 微信小程序 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loulanyijian/article/details/125540394
版权

为什么要token加密

此方案为2018年做小程序的时候实施

我们的小程序属于toB电商类,与金钱密切相关,因此对接口的安全性校验比较看重

处于产品性能+开发体验的考虑,我们没有将整体的接口数据都加密,而是每个接口的调用都会加上token,该token采用前后端加密匹配的方式来进行校验

前后端加密匹配

在这里插入图片描述

具体思路很简单,前后端获取到当前的时间戳time,加上当前用户的sk(小程序登录的session_key),再加上一段前后端约定的文本密钥,进行加密,生成token

在全局接口请求的地方统一处理,将所有的请求url上,都挂上sk、time、token这三个参数,而约定的文本密钥不通过网络传输

后端拿到这三个参数之后,通过sk+time+前后端约定的文本密钥,加密生成token,与前端传入的token进行匹配,成功的话,返回正确的内容,校验错误的话就返回报错,接口返回请求错误

time校验

但如果这三个参数被人拿到了之后,直接恶意调用我们的接口怎么办?

解法:这里同时还有一个重要的校验,就是时间戳time的校验,这个time与后端的时间进行校验,差异阈值设置的比较小,超出这个差异值,也会提示报错

这个差异值在N秒之内,是多次实验的结果,在安全的同时也能保证正常的接口请求调用

具体前端代码展示

// 引用加密js
const jsSHA = require('../../libs/sha1')

// 在接口请求上,统一添加url参数
wx.pro.request = options => {
...
return new Promise((resolve, reject) => {
  url: options.url + getToken() + '...',
...
}

// 获取token等参数
export function getToken() {
  const time = new Date().getTime()
  const sk = wx.getStorageSync('sk')

  const shaObj = new jsSHA('SHA-1', 'TEXT')
  shaObj.setHMACKey(sk, 'TEXT')
  // 加上约定的字符串
  shaObj.update('POST' + times + sk)
  const token = shaObj.getHMAC('HEX')

  return `?sk=${sk}&time=${time}&token=${token}`
}

为什么采用sha-1加密

除了sha系列的加密方法外,js常用的加密方法还有别的,md5、base64、以及RSA加密的jsencrypt.js,这个网上资料很多

虽然sha1是可以暴力破解的,不过在正常破解资源的情况下,还是足够安全,加上加密效率也ok,在互联网中的使用也算比较普遍

可以查阅 jsSHA github来把玩一下sha的各种加密方法,现在来看,sha-1有点落伍了,sha-3还未普及,使用的最多的是sha-2

后记

如上的接口校验工作,后来在项目中运行的比较平稳,没有出过相关的安全问题

不过这只是前端安全里面的冰山一角,尤其是电商类项目,还有很多安全相关的事情需要做

loulanyijian
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小程序接口加密
03-29
场景 小程序请求的所有接口参数必须加密,后台返回数据也需要加密,并且增加Token验证   一、小程序端功能编写 1.下载一份Js版的aesUtil.js源码。【注:文章末尾会贴出所有的相关类文件】  2.下载一份Js版的md5.js源码。  3.在pulic.js中进行加解密操作代码如下,其中秘钥和秘钥偏移量要与后台的一致。   var CryptoJS = require('aesUtil.js'); //引用AES源码js var md5 = require('md5.js') var key = CryptoJS.enc.Utf8.parse("76CAA1C88F7F8D1D");
微信小程序登录(生成tokentoken校验)——后端
Z__XY_的博客
12-28 5328
写在前面:如果想自己开发微信小程序,需要先到微信小程序官方平台注册账号,地址为:https://mp.weixin.qq.com/wxopen/waregister?action=step1. 其中,开发者服务器就是我们的后端服务器,微信接口服务就是微信提供的服务。openid是微信用户身份的唯一标识。开发者服务器中所谓的自定义登录状态,就是记录当前用户的相关信息,比如存储用户的openid到数据库、生成token等。当小程序获取到开发者服务器返回的自定义登录态(token)后,小程序可以记录下该值,用它作
2024年网安最全app与后台的token、sessionId、RSA加密登录认证与安全解决方案
最新发布
2401_84264491的博客
05-01 716
在最原始的方案中, 登录保持仅仅靠服务器生成的sessionId: 客户端的请求中带上sessionId, 如果服务器的redis中存在这个id,就认为请求来自相应的登录客户端。2004年8月17日的美国加州圣巴巴拉的国际密码学会议(Crypto’2004)上,来自中国山东大学的王小云教授做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告,公布了MD系列算法的破解结果。2. 对密码分析的安全性:由于MD5的设计,易受密码分析的攻击,SHA-1显得不易受这样的攻击。签名的生成就是一次加盐。
token令牌常用的四种加密方式
weixin_49612239的博客
07-05 5990
1.base64 ‘防君子不防小人’ 方法 作用 参数 返回值 b64encode 将输入的参数转化为base64规则的串 预加密的明文,类型为bytes;例:b‘guoxiaonao’ base64对应编码的密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ b64decode 将base64串 解密回 明文 base64密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ 参数对应的明文,类型为bytes;例:b’guoxiaonao’ urlsaf
前端加密/解密方式
zhianwang的博客
02-21 5804
敏感数据加密与解密:通常在前后端之间数据传输经常会涉及到一些敏感数据、cookie携带的token加密等问题
java中Token加解密的3种方法
weixin_65399034的博客
12-09 945
java中三种解密(对称加密算法,非对称加密算法,HMAC加密方法)
微信小程序接口实现加密
热门推荐
wszhlzjl的博客
05-10 1万+
微信小程序接口实现加密教程: 场景 小程序请求的所有接口参数必须加密,后台返回数据也需要加密,并且增加Token验证 一、小程序端功能编写 1.下载一份Js版的aesUtil.js源码。【注:文章末尾会贴出所有的相关类文件】 2.下载一份Js版的md5.js源码。 3.在pulic.js中进行加解密操作代码如下,其中秘钥和秘钥偏移量要与后台的一致。 var Crypt...
小程序密码RSA加密&&vue密码加密前端
F19980825901的博客
09-28 1572
小程序密码RSA加密&&vue密码加密前端
微信小程序码实现网站登陆实现解析
10-16
5. **获取小程序二维码**:要生成小程序二维码,首先需要获取小程序的access_token。这是一个有限制的API调用,通常建议将其缓存以减少不必要的请求。例如,可以设置一个定时器来定期刷新access_token,以应对7200秒...
微信小程序 后台登录(非微信账号)实例详解
08-30
微信小程序开发中,有时需要实现用户登录功能,但并非依赖微信账号的授权登录,而是通过自定义的后台登录接口来完成。本文将详细介绍如何在微信小程序中实现后台登录(非微信账号)的功能。 首先,我们需要在`app...
微信小程序图片选择、上传到服务器、预览(PHP)实现实例
08-30
* 在小程序中,需要考虑安全问题,例如使用 HTTPS 协议来加密数据传输,避免数据泄露。 * 在服务器端,需要验证用户的权限,例如使用 `session` 或者 `token` 来验证用户的身份。 八、结论 * 微信小程序图片选择、...
微信小程序加密及解密
02-06
这是一个java解密小程序的一个例子,希望可以帮到大家。
页面RSA加密生成token代码
04-30
前端页面RSA加密生成token代码,并保存token到本地,在进行其他请求的时候可以把token作为参数带过去
微信小程序MD5加密接口的处理
03-29
作者:Fenchow,来自原文地址  相关帖:跳坑《一百六十三》MD5加密使用说明  通常情况下,微信小程序接口是以url+key方式进行对接,但是有时候,接口会有MD5加密,这是为了让接口更加安全,不轻易被人调用。下图是PC网站调用数据的ajax代码(图中的url不是真实的链接,只是为方便演示)   <!DOCTYPE html> <html> <head> <title></title> [removed][removed]
springboot基于小程序的二手物品交易.zip
03-10
前端使用微信小程序进行开发。系统架构:采用微服务架构,将各个功能模块拆分成独立的服务,便于扩展和维护。同时,使用API网关对服务进行统一管理和调度。安全性能:采用JWT(JSON Web Token)进行用户身份验证和...
WEB前端常见受攻击方式及解决办法总结
10-15
WEB前端安全问题不容忽视,因为它直接影响到用户的个人信息安全和网站的正常运行。本文主要关注四种常见的攻击方式及其防范措施:SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)和HTTP头部攻击。 1. **SQL...
小程序 RSA 加密
weixin_46258341的博客
07-06 2134
3、封装加密方法(rsa.js )1、构建 npm 包。
app与后台的token、sessionId、RSA加密登录认证与安全解决方案
2401_83974199的博客
04-13 340
服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。客户端收到公钥后, 加密用户密码,向服务器发送用户名和加密后的用户密码;同时另外产生一对公钥和私钥,自己保留私钥, 向服务器发送公钥;于是第二次登录请求传输了用户名和加密后的密码以及客户端生成的公钥。服务器利用保留的私钥对密文进行解密,得到真正的密码。经过判断, 确定用户可以登录后,生成sessionId和token,同时利用客户端发送的公钥,对token进行加密。最后将sessionId和加密后的token返还给客户端。
微信小程序开发中的数据加解密与安全防护
吃不胖.
09-12 1506
安全防护是微信小程序开发中保障小程序安全性的关键措施,开发者需要采取一系列措施,如用户授权、安全认证、安全检测、防范攻击等。然而,随着数据泄露、网络攻击等问题的日益严重,数据加密安全防护成为了微信小程序开发的重要问题。开发者需要在小程序中明确告知用户,需要获取哪些权限,为何需要这些权限,以及如何保障用户的隐私权,从而获得用户的授权。此外,在数据恢复时,需要进行数据的解密和验证,以确保数据的完整性和安全性。微信小程序数据传输是通过微信服务器进行的,因此需要进行数据加密,以保障数据安全性。
微信小程序python token验证_Django实现微信小程序的登录验证功能并维护登录态
06-09
好的,我来回答你的问题。 要实现微信小程序的登录验证功能并维护登录态,可以通过以下步骤进行: 1. 在微信公众平台上创建一个小程序,并获取小程序的AppID和AppSecret。 2. 在Django中创建一个接口,用于接收前端发送过来的code和encryptedData等信息。 3. 在Django中使用requests库向微信服务器发送请求,获取session_key和openid等信息。 4. 在Django中生成一个自定义的token,并将token、session_key和openid等信息保存到数据库中。 5. 在前端通过wx.setStorageSync()方法将token保存在本地缓存中。 6. 在后续的请求中,前端通过wx.getStorageSync()方法获取token,并将token通过HTTP请求的Header中发送到Django服务器。 7. 在Django中对每个请求进行token校验,如果校验通过,则维护用户的登录态。 需要注意的是,为了保障用户信息的安全,需要对传输的数据进行加密和解密处理。同时,为了防止token被伪造,需要在生成token时加入一些随机因素,例如时间戳和随机字符串等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值