淘宝sign加密算法

最新推荐文章于 2024-06-14 14:20:53 发布
最新推荐文章于 2024-06-14 14:20:53 发布
阅读量2.2k 收藏 6
点赞数
分类专栏: python


淘宝sign加密算法

淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,

MTOP利用这个摘用值和cookie中的token来防止URL篡改。

流程

当本地cookie中的token为空时(通常是第一次访问),mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答,同时mtop会生成token写入cookie中(response.cookies)。

第二次请求时,js通过读取cookie中的token值,按照约定的算法生成sign, sign在mtop的请求中带上,mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较,检查通过将返回api的应答,失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”

cookie中的token是有时效性的,遇到token失效时,将收到应答”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期”, 同时会写入新的token,js利用新的token重新计算sign并重发请求。

关于cookie中的token的自我检查,由于token在cookie中是明文的,可能会被仿冒,在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的(利用加密后的token和私钥还原token,与回传的明文token比较)

sign 生成

关于sign的生成公式:

md5Hex(token&t&appKey&data)

如:md5Hex(“645d1f414d4914297dfaab40f3f76016 &1234&4272&{“itemNumId”:”1500011132496”}”)

sign=d2b2f818a03496b296b899a230c03abd

token

关于cookie的有效时长,cookie的有效时长为7天,但是token的有效时长目前为60分钟

_m_h5_tk: 格式为 明文token_expireTime, 从response.cookies处获取,如: 2fcd2baa62fc60f73c0487a9f8a0a9d1_1362559577301

token就是2fcd2baa62fc60f73c0487a9f8a0a9d1

t

很简单,即时间戳 int(time.time()*1000)

appKey

一般是固定数值

data

一般是提交的参数

example

 

如何寻找

看下面这段js

 

你可能会问,如何寻找,答案是js断点,一步步调试。

Python 学习者
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
淘宝app sign加密参数破解
花臂不花Home
04-02 786
获取淘宝app sign加密参数,通常情况下,签名算法会涉及到对特定参数的拼接、加密、编码等操作。在具体实现之前,你需要确认你对淘宝API的了解,并且确保你有权访问并使用这些API。下图是通过mitmdump抓包获取的接口信息。可以看到sign加密参数,看加密结果类似md5。
淘宝签名算法
Tigger.run 独立开发者 热爱逆向工程
12-04 1659
声明 本人的所有操作只用于学习,木有任何违法的操作哦~ 大家千万不要轻易的胡乱的尝试。。。 如有侵权,及时联系删除~ TAO宝 Sign签名算法 先抓个包呗,下个断点啥的 >> 就发现了他们封装的h类,感觉还是很友好的呗。 打印出参数发现sign在其中一个参数里边…具体哪个别问我兄弟们! 然后我们的目标很简单就是要直到它是图和gen出sign来的! 溯源失败 这是个漫长的过程,我大...
淘宝sign算法分析
weixin_40105002的博客
02-11 643
这是h方法的实现,应该是对MD5算法的修改,var O = m(t) + m(u) + m(v) + m(w);最终结果长度与MD5长度一样。其中调用参数:h(d.token + "&" + i + "&" + g + "&" + c.data)可以利用openai将算法的js代码转成目标代码,这里推荐一个免费的AI工具:poe.com。token:应该是_m_h5_tk去除时间戳。c.data:应该是payload。
Python 爬取淘宝指定搜索商品评论 标题 销量 计算sign
最新发布
这个人很懒什么都没有留下
06-14 220
只需要替换原来的Cookie和token即可使用,自动计算对应链接地址的sign直接使用即可。需要注意是一个账号爬取过多会有验证码。
【爬虫】关于淘宝sign参数生成算法
热门推荐
广埠屯小拉登的博客
09-14 1万+
 关于淘宝的数据抓取,可能涉及到的一个参数就是signsign的值是有一个计算公式的,基于已有的经验,知道这种参数一般多是会保存在js文件里的。 (1)在淘宝页面,打开开发者工具(F12),然后搜索sign,一个个查找在哪里出现的sign的赋值 …忽略搜索过程,可以发现在sign的计算关键代码在mtop.js 中,也就是 (https://g.alicdn.com/mtb/lib-mtop/2....
详解淘宝H5 sign加密算法
11-19
淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,MTOP利用这个摘用值和cookie中的token来防止URL篡改。
nodejs采集淘宝、天猫网商品详情数据以及解决_m_h5_tk令牌及sign签名验证(2023-09-09)
byc6352的专栏
09-09 2916
nodejs采集淘宝、天猫网商品详情数据以及解决_m_h5_tk令牌及sign签名验证(2023-09-09)
sign和令牌_m_h5_tk加密
A3的博客
05-15 735
d.tokeni 时间戳g 固定值c.data 是请求的data也是固定值 但是data里面的id需要变化(每个详情页有唯一的id)在这里d.token需要分析怎么得来?
淘宝sign参数保姆解析
m0_62861375的博客
11-19 3724
分析 sign = j, 即求j j = h(d.token + “&” + i + “&” + g + “&” + c.data) 查阅csdn知 #所以参数都只需要在Headers中寻找 d.token = cookie中的“_m_h5_tk”值(并且需要去掉最后的“_时间戳”) 示例 若 _m_h5_tk=a0b68754d00f663625667ee7a9de0469_1637340798655 则取d.token=‘a0b68754d00f
php json_decode 不支持的模式
08-18 3169
php json_decode 不支持的模式 mtopjsonp1({"api":"com.taobao.search.api.getShopItemList","v":"2.0","ret":["FAIL_SYS_ILLEGAL_ACCESS::非法请求"],"data":{}}) php json_decode 不支持的模式 最前面有名称 mtopjsonp1
淘宝h5 页面 sign加密算法
12-10 1688
1.淘宝sign加密算法 淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign, MTOP利用这个摘用值和cookie中的token来防止UR...
淘宝API sign加密
09-09
淘宝API的签名(sign)加密是安全访问淘宝开放平台(Taobao Open Platform, 简称TOP)的关键步骤。在使用淘宝客API SDK时,开发者需要正确实现签名算法以确保请求的有效性和安全性。这个过程涉及到一系列的技术细节,...
1688 sign参数加密分析
08-17
"sign"参数通常用于验证API请求的来源和完整性,它是通过将特定的组成部分(如token、时间戳、g以及请求参数)与一个预定义的密钥结合,然后经过加密算法处理得到的。这样的设计能够防止中间人攻击,因为任何篡改...
rsa加密算法使用示例分享
09-04
- 使用`SignData`方法,传入待签名的数据(如`messagebytes`)和哈希算法(如"SHA1"),返回签名的`byte[]`。 - 验证签名: - 使用公钥加载另一个`RSACryptoServiceProvider`实例。 - 调用`VerifyData`方法,...
爬取淘宝买家秀,sign值的生成
这个面它又长又宽
06-10 1万+
最近在做关于淘宝买家秀的爬虫,其中无非就是关于sign的生成相关的几个点。这里我来介绍下自己总结的几个点。 1.数据 如图。淘宝传下来的数据存在js文件中 2.参数 appKey: 12574478 t: 1560094920983 sign: 9fd51773ab6c80205f4a0c2f97ca14c6 api: mtop.taobao.social.feed.aggre...
Python3爬取淘宝网商品数据!
爬遍所有网站
08-20 7263
分析淘宝网 这次选择的是淘宝网热卖而不是淘宝网,二者虽然名字有不同,但是数据还是一样的,区别就在于前者把后者的所有店铺和商品的海量数据按照销售量、好评度、信誉度综合测评、重新计算、重新排序展现给买家的一个导购网站。 找到准确数据: 请求参数对比: jsv: 2.4.0 appKey: 12574478 t: 1597626852590 sign: 457c09a81147eb493d1f58ad6ab64d52 api: mtop.alimama.union.sem.landi.
爬虫----js逆向某宝h5的sign参数
bjsyc123456的博客
09-19 1937
某宝sign参数
rsa加密算法python
11-02
RSA是一种非对称加密算法,用于加密的密钥和用于解密的密钥不是同一个。RSA可以根据密钥的大小改变分组大小,如果加密的数据不是分组大小的整数倍,则会根据具体的应用方式增加额外的填充位。在Python中,可以使用Crypto库实现RSA加密算法。具体实现过程包括生成公钥和私钥,加密数据和解密数据,签名和解签等步骤。可以参考以下代码实现RSA加密算法: ```python from Crypto import Random from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_v1_5 as Cipher_pkcs1_v1_5 # 生成随机偏移量 random_generator = Random.new().read # 生成一个私钥 rsa = RSA.generate(2048, random_generator) # 导出私钥 private_key = rsa.exportKey() # 生成私钥所对应的公钥 public_key = rsa.publickey().exportKey() # 将私钥内容写入文件中 with open('rsa_private_key.pem', 'wb')as f: f.write(private_key) # 将公钥内容写入文件中 with open('rsa_public_key.pem', 'wb')as f: f.write(public_key) # 加密数据 message = 'Hello, world!' with open('rsa_public_key.pem', 'rb') as f: key = f.read() rsakey = RSA.importKey(key) cipher = Cipher_pkcs1_v1_5.new(rsakey) cipher_text = cipher.encrypt(message.encode()) # 解密数据 with open('rsa_private_key.pem', 'rb') as f: key = f.read() rsakey = RSA.importKey(key) cipher = Cipher_pkcs1_v1_5.new(rsakey) text = cipher.decrypt(cipher_text, random_generator) # 签名 with open('rsa_private_key.pem', 'rb') as f: key = f.read() rsakey = RSA.importKey(key) signer = Signature_pkcs1_v1_5.new(rsakey) digest = SHA.new() digest.update(message.encode()) sign = signer.sign(digest) # 验证签名 with open('rsa_public_key.pem', 'rb') as f: key = f.read() rsakey = RSA.importKey(key) verifier = Signature_pkcs1_v1_5.new(rsakey) digest = SHA.new() digest.update(message.encode()) is_verify = verifier.verify(digest, sign) print('加密后的数据:', cipher_text) print('解密后的数据:', text.decode()) print('签名:', sign) print('验证签名结果:', is_verify) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值