前端小程序接口参数签名验证,防止数据泄露

最新推荐文章于 2024-06-25 10:39:43 发布
最新推荐文章于 2024-06-25 10:39:43 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 小程序接口参数签名 vue 文章标签: javascript 加密解密 md5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52313178/article/details/117375453
版权

小程序的接口参数签名

一般来说接口参数签名,是为了防止数据泄露,接口参数签名也有其默认的规则,接下来就一起来探讨吧,话不多说直接上代码!
//首先这是我在utilsjs文件里做参数签名需要的方法
timest(times){  //通过时间戳生成当前时间精确到秒,这是必要参数
        let date = new Date(times) //时间戳为10位需*1000,时间戳为13位的话不需乘1000
        let Y = date.getFullYear()
        let M =
          (date.getMonth() + 1 < 10 ?
            '0' + (date.getMonth() + 1) :
            date.getMonth() + 1)
        let D =
          (date.getDate() < 10 ? '0' + date.getDate() : date.getDate()) 
        let h =
          (date.getHours() < 10 ? '0' + date.getHours() : date.getHours())
        let m =
          (date.getMinutes() < 10 ? '0' + date.getMinutes() : date.getMinutes()) 
        let s =
          date.getSeconds() < 10 ? '0' + date.getSeconds() : date.getSeconds()
        return Y + M + D + h + m + s      //返回的数据形式是这种202105281420
    },
  
    sortObj(obj){  //需要给我们的参数按ascll码做升序排列
        var keysArr = Object.keys(obj).sort();
        var sortObj = {};
        for (var i in keysArr) {sortObj[keysArr[i]] = encodeURIComponent(obj[keysArr[i]]); }
        return sortObj;
      },
  
    generateSignText(params,key){  //排序后通过&符拼接
        let isthrim = true;
          for(var k in params){
            if(params[k] == '' || params[k] == null){
                isthrim = false
                break;
            }
          }
          if(isthrim == false){
            return;
          }
          let arr = [];
          for (var i in params) {
              arr.push((i + "=" + params[i]));
          }
            let newUrl = arr.join(("&")) + key; //这里的key是后端给的,固定值要拼到最后
          return newUrl
     },
  
    getsign(params,key){ //获取签名这也是最关键的一步
        let nonce1 = Math.random().toString(36).substr(2); //获取随机字符串
        let nonce2 = Math.random().toString(36).substr(2);//因为这个方法是我网上搜的,字符串长度不够
        let nonce =nonce1.concat("-").concat(nonce2)//所以这里我做了一下拼接
        let times = this.timest(Date.now())//获取当前时间
          if(params == undefined || params == null){ //这里的params也是接口需要穿的参数
             params = {};//如果是没有,那代表是get请求,就赋值为空对象
           } 
           params['x-nonce'] = nonce;//这里对象里加上随机字符串
           params['x-tmsp'] = times;//这里往对象里加上时间
           let obj = this.sortObj(params);//按升序排列
           let signText = this.generateSignText(obj,key);//获取拼接的文本
              let sign = md5.hexMD5(signText)//通过md5加密,MD5方法小程序需要引入一个js文件
              let headers = {//拿到签名后把数据格式整理一下
                'x-nonce': nonce,
                'x-tmsp': times,
                'x-sign':sign
              }
              return headers  //因为这些参数我们都要加到请求头里去的
      }
当我们所有的方法都准备好,怎么用呢?直接上代码
import utils from "../utils/util" //首先引入公共方法
let key = '这里是后端给的key'
let params = {} //提前准备一个空对象
export default function request(options){
  console.log(options);//options是我们发起请求传的所有数据
  if(!options.data){  //没有data代表是get请求
    params = {}  //把空对象传进函数
  }else{   //否则是post请求,有data数据
    params =JSON.parse(options.data); //有data把参数传进去拼接排序拿签名
  }
  let headers = utils.getsign(params,key) //这里拿到return出来的headers
  return new Promise((resolve,reject)=>{
    let user = utils.get('user');
      wx.showLoading({
        title: "加载中",
        mask: true,
      });
    wx.request({
      header:{
        "x-token":user['x-token'],
        'Content-Type': 'application/json',
        'x-nonce': headers['x-nonce'],//这里三个就是加到请求头里的数据
        'x-tmsp': headers['x-tmsp'],
        'x-sign':headers['x-sign'] //这个是签名
      },
这些配置好就可以正常请求接口啦,如若有错请多多指正,相互学习,谢谢。太热了,我要去喝肥宅水了,哈哈。。。。
段子君
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
前端安全问题
yanner_的博客
08-05 1222
1.不安全的第三方依赖包 现如今进行应用开发,就好比站在巨人的肩膀上写代码。据统计,一个应用有将近80%的代码其实是来自于第三方组件、依赖的类库等,而应用自身的代码其实只占了20%左右。无论是后端服务器应用还是前端应用开发,绝大多数时候我们都是在借助开发框架和各种类库进行快速开发。 这样做的好处显而易见,但是与此同时安全风险也在不断累积——应用使用了如此多的第三方代码,不论应用自己的代码的安全...
接口签名
GUYyyy的博客
12-07 2163
一、不进行验证的方式 api查询接口: app调用:http://api.test.com/getproducts?参数1=value1… 如上,这种方式简单粗暴,通过调用getproducts方法即可获取产品列表信息了,但是 这样的方式会存在很严重的安全性问题,没有进行任何的验证,大家都可以通过这个方法获取到产品列表,导致产品信息泄露。 那么,如何验证调用者身份呢?如何防止参数被篡改呢? 二、MD5参数签名的方式 我们对api查询产品接口进行优化: 1.给app分配对应的key、secret 2.S
微信小程序内容接入安全检测接口
热门推荐
DayDayUp
04-08 1万+
最近微信小程序代码审核不通过,原因是未将用户的头像和网名做内容接入安全,根据修改指引: 一、什么服务或功能的小程序是UGC小程序小程序中的功能或服务中,涉及用户将自己自定义编辑的文字、图片、音频、视频等内容通过小程序进行展示或提供给其他用户的,属于UGC小程序。 二、作为UGC小程序,用户发布的内容与小程序是否相关? 微信小程序的服务提供者应当负有监管责任,应设置过滤违法、违规等不当...
Java API接口参数签名
最新发布
O_OIIIII的博客
06-25 906
这样确实能解决问题,但显然服务器承载不了这么做,即使再微小的数据量,在时间的累加下,也总一天会超出服务器能够承载的上限。以上的代码,均假设 A 系统服务器与 B 系统服务器的时钟一致,才可以正常完成安全校验,但在实际的开发场景中,有些服务器会存在时钟不准确的问题。如果请求被抓包,请求的其它参数就可以被任意修改,例如可以将 money 参数修改为 9999999,B系统无法确定参数是否被修改过。那抓包的人只需要等待 15 分钟,你的 nonce 记录在缓存中消失,请求就可以被重放了。
【Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校验
sco5282的博客
07-14 2946
/ 参加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)
微信小程序获取signature
u012951308的博客
01-07 2998
目前已完成自动小程序 Code ,openId, signature,encryptedData,iv,cloud_id,等数据获取。不过常常逆向工程中是直接调用不了官方接口的 ,可以利用hook方式获取小程序signature,Code,等数据
微信小程序前端解密获取手机号
06-03
2. 验证签名:在与微信服务器通信时,应校验返回数据签名防止中间人攻击。 3. 使用HTTPS:所有与服务器的通信应使用HTTPS协议,确保数据传输过程中的安全性。 4. 用户隐私保护:在获取手机号后,应遵循相关...
微信小程序支付,服务端java项目+前端小程序实现。.zip
01-11
2. **调用支付API**:在前端小程序部分,开发者需要通过微信的小程序API调用“统一下单”接口生成预支付交易单,这个过程中会涉及到订单信息、商品详情、金额等参数的设置。 3. **支付签名验证**:为了保证交易...
Java 小程序V3支付 apiv3 后端代码实现与工具
07-14
Java后端需要处理这些步骤的逻辑,例如生成预支付订单时,需调用微信支付API并返回给小程序前端必要的参数。 4. **签名机制**:V3 API采用了HMAC-SHA256签名算法,确保请求和响应的完整性和不可篡改性。Java开发者...
微信小程序后端实现授权登录
11-21
在微信小程序中,实现授权登录是一项关键功能,它涉及到用户的身份验证数据安全。下面将详细解释这个过程。 首先,微信小程序的登录流程通常由以下几个步骤组成: 1. **调用`wx.login()`**:这是登录流程的第一...
微信支付后端demo(java)_微信小程序模板js代码前台前端H5页面源码+后台源码.rar
08-09
微信支付后端DEMO(Java)是用于演示微信支付功能的一个示例项目,结合了微信小程序的JS代码、前端H5页面源码以及后台源码,帮助开发者快速理解和实现微信支付流程。在这个压缩包文件中,`WechatPayDemo-master` 是...
微信小程序 wx.request wepy 简单封装
wyk304443164的专栏
10-28 8812
本文出自: http://blog.csdn.net/wyk304443164 很简单// let requestHandler = { // url: '', // params: {} // }//GET请求 function GET (requestHandler) { if (typeof requestHandler === 'string') { requestH
小程序支付api密钥_如何避免在公共前端应用程序中公开您的API密钥
cumi7754的博客
08-12 555
小程序支付api密钥 问题 (The Problem) All you want to do is fetch some JSON from an API endpoint for the weather, some book reviews, or something similarly simple. 您要做的就是从API端点获取一些有关天气的JSON,一些书评或类似的简单内容。 The f...
小程序接口签名及PHP验签
flysnownet的博客
07-18 4668
签名算法 所有参数按字典序排序后用&连接,然后拼接上&key='value',做MD5 小程序生成签名 sign.js var m = require("./md5.js"); function sort(data) { var keys = Object.keys(data).sort(); var result = {}; for(var i = 0; i < keys.length; i++){ var key = keys[i
uniapp微信小程序JSAPI支付前端生成签名,并调起微信支付
weixin_41894940的博客
08-11 1570
【代码】uniapp微信小程序JSAPI支付前端生成签名,并调起微信支付。
小程序php接口签名,微信小程序支付 签名
weixin_28979345的博客
03-19 632
当时做微信小程序支付真的是炸毛了!!特此立贴,记录一下,避免再次采坑先把流程图放着image.png商户系统和微信支付系统主要交互:1、小程序内调用登录接口,获取到用户的openid,api参见公共api【小程序登录API】2、商户server调用支付统一下单,api参见公共api【统一下单API】3、商户server调用再次签名,api参见公共api【再次签名】4、商户server接收支付通知,...
前端爬虫或者插件中,淘宝API/接口调用里签名算法sign是如何实现的?
guoqkmiss的博客
03-08 4163
淘宝API/接口调用里签名算法 sign 在做插件或者爬虫调用淘宝接口或者淘宝API 的时候,都需要一个叫 sign 的签名字段,淘宝叫他API输入参数签名结果,一般是一个 md5 加密之后的签名。 为了防止API调用过程中被黑客恶意篡改,调用任何一个API都需要携带签名,TOP服务端会根据请求参数,对签名进行验证签名不合法的请求将会被拒绝。 TOP目前支持的签名算法有三种:MD5(sign_method=md5),HMAC_MD5(sign_method=hmac),HMAC_SHA256(sign_
小程序画布电子签名(实例)
前端_李嘉豪
10-12 1万+
html <view class='container'> <!-- 签名画布 --> <canvas class="canvas" id="canvas" canvas-id="canvas" disable-scroll="true" bindtouchstart="canvasStart" bindtouchmove="canvasMove" bin...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

段子君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值