研究了一下项目部分接口的加密传值,找开发要到了加密key以及偏移向量iv。根据AES的CBC加密模式设计函数对接口请求数据进行加密传参:
from Crypto.Cipher import AES
import base64
from global_SystemEnv import SystemEnv
from loguru import logger
#加密
def encryptData(key:str, iv:str, plaintext:str)->str:
"""
:param key:加密密匙
:param iv:加密偏移量
:param plaintext:需要加密的字符串
"""
# # 将key和iv转换为字节
# key = bytes(key, encoding='utf-8')
# iv = bytes(iv, encoding='utf-8')
# 使用AES算法进行加密
cipher = AES.new(key, AES.MODE_CBC, iv)
# 对明文进行PKCS7填充
plaintext = plaintext.replace(' ','').replace('\t','').replace('\n','').encode('utf-8') #去除所有空字符,换行符。缩进
padding_length = 16 - len(plaintext) % 16
padding = bytes([padding_length] * padding_length)
padded_plaintext = plaintext + padding
# 使用AES算法加密填充后的明文
encrypted = cipher.encrypt(padded_plaintext)
encryp_res = base64.b64encode(encrypted).decode('utf-8')
#将加密后的数据进行base64编码
logger.info(f'AES加密后的值为:{encryp_res}')
return encryp_res
#解密
def decryptData(key:str, iv:str, ciphertext:str)->str:
"""
:param key:加密密匙
:param iv:加密偏移量
:param ciphertext:加密后的字符串
"""
# 将key和iv转换为字节
# key = bytes(key, encoding='utf-8')
# iv = bytes(iv, encoding='utf-8')
# 对密文进行base64解码
ciphertext = base64.b64decode(ciphertext)
# 使用AES算法进行解密
cipher = AES.new(key, AES.MODE_CBC, iv)
decrypted = cipher.decrypt(ciphertext)
# 去除解密后数据的PKCS7填充
padding_length = decrypted[-1]
decrypted = decrypted[:-padding_length]
# 将解密后的数据转换为字符串
decrypt_res = decrypted.decode('utf-8')
logger.info('AES解密后的值为:{decrypt_res}')
return decrypt_res
当我用加密及解密方法来对接口请求数据加密时,得到的加密结果与页面抓取的密文一致,但是在调试接口时发现密文却不一致。加密key和偏移向量iv都没有错,问题到底出在哪里?
注意看以上我改进后的代码这一行:
plaintext = plaintext.replace(' ','').replace('\t','').replace('\n','').encode('utf-8') #去除所有空字符,换行符,缩进。
下面来感受一下去除这些字符之后加密的差别:
key = SystemEnv.VUE_APP_API_ENCRYPT_KEY
iv = SystemEnv.VUE_APP_API_ENCRYPT_IV
data = """{
"entity": "MU",
"accountNumber": 1700000156,
"countdownName": "resetAccountPwd",
"language": "CHT",
"captchaId": "3VM07d",
"captchaText": "snwo",
"email": "990687322@qq.com",
"fullName": "chungkkedwin"
}"""
#加密
aes_data = encryptData(key,iv,data )
print(aes_data)
输出结果:
与浏览器抓包格式一致:
不去除这些空字符串与换行符之类时加密:
可以看到两者的差别有多大,格式完全变了,而我们从excel读取出来的请求数据,一般都是字符串,如上的data变量,如果不对这些空格、换行符之类的进行处理,请求会失败。