python flask 接口签名sign原理及代码实

最新推荐文章于 2024-04-29 17:16:20 发布
最新推荐文章于 2024-04-29 17:16:20 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: python 文章标签: flask python 后端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1054230914/article/details/128872847
版权

接口签名sign原理及代码实现

觉得废话多的话,可以直接看代码

作用

防止有人不停的刷接口,对接口做限制

比如说,登录接口,按道理说,应该只有app会请求这个接口
但是,如果有人抓取app的请求,就会得到登录接口的地址和请求参数
如果他写了个脚本,不断的访问登录接口,去测登录名密码,那么有些有些用户的密码策略过于简单,是很容易被试出来的

所以,接口签名就是专门用来限制这个的,只有app(自己人)才能通过校验

原理

1.服务器和app,各自存储一个相同的秘钥
2.app请求时,把传的参数用秘钥进行加密,生成一个sign签名,一同传递过去
3.服务器接到请求后,也会对传递的参数进行加密,也生成一个sign签名,拿服务器生成的sign和接口请求的sing比对一下,如果相同,那么就可以证明,是自己人请求的,就予以放行

因为这个秘钥,只有自己人才会有,同样的秘钥生成的sign签名,肯定是一模一样的
这个秘钥,一般是开发的时候,线下给到app开发,集成编译到app里面的

问题

举例,app和服务器,各自保存了一个秘钥,进行签名验证
1.app请求登录接口,账号名为abcd,密码为123456,
2.app对账户名和密码用秘钥加密生成签名,去请求登录接口
3.服务器收到请求,对账号名和密码也用秘钥加密生成签名,对比发现签名一致,然后予以通过
4.请求成功

问题1

但是,如果下次app还去请求登录的时候,生成的签名,是不是还是一模一样?
因为都是对账号和密码加密生成签名,那么只要账号和密码不变,那么生成的签名肯定是一模一样的

那如果坏人直接抓包拿到签名、账号和密码,是不是他也可以仿造登录请求,要知道,服务器只接受请求,他是分辨不出来的

所以,即使是相同的账号和密码,也要保证,每次的签名都不一致

最低0.47元/天 解锁文章
高冷的王哈哈
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口测试 — 9.接口签名sign原理
m0_73409141的博客
12-21 1044
出于信息保密的目的,在信息传输或存储中,采用密码技术对需要保密的信息进行处理。使得处理后的信息不能被非受权者(含非法者)读懂或解读,这一过程称为加密。在加密处理过程中,需要保密的信息称为“明文,经加密处理后的信息称为“密文”。加密即是将“明文”变为“密文”的过程。与此类似,将“密文”变为“明文”的过程被称为解密。AESMD5。特点:加密和解密效率高,安全性低。RSA。特点:安全性高,加密解密效率低。是使用用户名密码时间戳。
flask-praetorian:Flask API的强大,简单而精确的安全性(使用jwt)
05-14
烧瓶-普雷托里亚人 Flask API的强大,简单而精确的安全性 API安全性应像罗马军团一样强大,简单且精确。 该软件包旨在提供这一点。 使用现的令牌, flask_praetorian使用非常简单的界面来确保为访问您API端点的用户提供了正确的访问角色。 该项目受到严重影响,但旨在仅提供基本功能。 flask-praetorian不会尝试预期所有用户的需求,而是提供一种简单而安全的机制来专门为API提供安全性。 此功能为API提供了一种包括电池在内的安全性方法。 对于基于Flask的API的基本安全性考虑, 应该提供所需的一切。 flask-praetorian软件包可用于: 用于存储在数据库中的哈希密码 根据散列的存储版本验证纯文本密码 验证密码后生成授权令牌 检查对安全端点的请求以获取授权令牌 供应令牌到期和刷新令牌的机制 确保与令牌关联的用户具有访问所需的角色 解析请求
如何设计安全可靠的开放接口---之签名(sign)
自律使我自由
05-20 4744
文章目录【如何设计安全可靠的开放接口】系列前言前置知识 【如何设计安全可靠的开放接口】系列 1. 如何设计安全可靠的开放接口—之Token 2. 如何设计安全可靠的开放接口—之AppId、AppSecret 前言 本节内容可以说是开放接口设计的关键所在,上一节在最后也提到了appId、appSecret如果没有接下来的这一步签名,将变的毫无意义,所以本节我们就来正式看看应该如何进行签名。 前置知识 首先,在介绍签名方式之前,我们必须先了解2个概念,分别是:非对称加密(比如:RSA)、摘要算法(比如:MD5)
接口测试必备技能—加密和签名
最新发布
HUA1211的博客
04-29 579
在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。
Python处理接口测试的签名
Asaasa1的博客
11-19 914
基本框架: 调用时序图: 第三方调用服务A的认证流程: 1、先访问API鉴权服务来获取apiToken(即拿到访问服务A的认证) 2、再由获取到的apiToken参与服务A的签名认证规则 这样就相当于在第三方和服务A直接增加了2次认证,安全性有了更好的保障。 流程1(获取apiToken)的签名规则如下: 1、将所有请求参数的值放入List中,注意:计算sign时所有参数不应进行URLEncode; 2、将格式化后的参数以字典序升序排列,拼接在一起,注意字典序中大写字母在前,空值(null)使用空字符串代替
python接口自动化 -10. 接口签名处理(加密接口
weixin_45246215的博客
03-23 1224
通过抓包把请求的请求头和请求参数抓下来,通过postman或者jmeter测试(每次抓包,参数都是固定,但是签名随着请求参数变化而变化,每请求一次就就要抓包一次,也难搞。也就是说,没有处理好签名,就不能进行下一步。询问开发具体的加密过程,复写一套加密算法,自己生成加密数据(过程有可能比较复杂,但是如果你跟开发关系好就不复杂,或者你直接看开发代码,加密,解密算法自己整一套);服务端与客户端进行http通讯时,为了防止被爬虫,数据安全性等,传参数的时候,不会明文的传输,先对接口加密,返回的数据也加密返回。
Python flask框架post接口调用示例
09-19
主要介绍了Python flask框架post接口调用,结合例形式分析了基于flask框架的post、get请求响应及接口调用相关操作技巧,需要的朋友可以参考下
python flask现分页的示例代码
12-25
结合mysql数据库查询,现分页效果 @user.route("/user_list",methods=['POST','GET']) def user_list(): p = g.args.get("p", '') #页数 show_shouye_status = 0 #显示首页状态 if p =='': ...
python+flask编写一个简单的登录接口
12-16
在本文中,我们将探讨如何使用PythonFlask框架来创建一个简单的登录接口,这对于学习接口测试和践HTTP请求是很有帮助的。Flask是一个轻量级的Web服务器和Web应用程序框架,非常适合快速构建小型Web应用。 1. **...
基于pythonflask现http接口过程解析
12-17
mock 第三方服务时,需要使用,另外包括自身开发,有时也会用到python #!/usr/bin/env python2 # -*- coding: utf-8 -*- """ Created on Fri Jun 12 18:52:42 2020 @author: ansonwan """ from flask import Flask,...
python3使用flask编写注册post接口的方法
01-21
使用python3的Flask库写了一个接口,封装了很多东西,仅供参考即可! 代码如下: #!/usr/bin/python3 # -*- coding: utf-8 -*- import re from flask import request from flask_restful import Resource import ...
WEB API 接口签名sign验证入门与
Blueeyedboy521的博客
10-26 4891
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
最强总结,Python自动化测试-sign签名战,精品整理...
06-09 641
一般公司对外的接口都会用到sign签名,对不同的客户提供不同的apikey ,这样可以提高接口请求的安全性,避免被人抓包后乱请求,sign签名是一种很常见的方式。sign签名签名参数sign生成的方法:第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。第2步: 然后把排序后的参数按参数1值1参数2值2…参数n值n(这里的参数和值必须是传输参数的原始值,不能是经过处理的,如不能将"转成”后再拼接)的方式拼接成一个字符串。
Java对外接口签名(Signature)现方案
热门推荐
学习学习学习
07-04 1万+
对外接口加密验签功能
python接口测试战--sign签名
weixin_37851188的博客
10-28 1771
生成sign签名值一、背景二、接口签名规范三、代码 一、背景 最近测试的项目由于需要给第三方调用,所以增加了安全性的认证,所有的接口调用都需要签名进行验签, 于是研究了一下使用python按照接口签名规范生成sign值。 二、接口签名规范 1、请求参数中的 sign 参数和为空的参数去除后,剩余的多个键值对,将键按照字典序排序, 并以key1=value1&key2=value2的格式拼成一个字符串 2、拼接的字符串需要URLEncode 3、将开发者的key拼接在第一步中排序后的字符串后面得到
程序员必备基础:加签验签
daobuxinzi的博客
10-10 1714
A公司这边的商户,发起转账时,A公司先用C公司的公钥,对请求报文加密,加密报文到达C公司的转账系统时,C公司就用自己的私钥把报文揭开。假设在加密的报文在传输过程中,被中间人Actor获取了,他也郁闷,因为他没有私钥,看着天鹅肉,又吃不了。本来想修改报文,给自己账号转一个亿的,哈哈。A在发起转账时,用Actor的公钥,对请求报文加密,加密报文到在传输过程,Actor又截取了,这时候,他用自己的私钥解密,然后修改了报文(给自己转一个亿),再用C的公钥加密,发给C公司,C公司收到报文后,继续用自己的私钥解密。
全网最牛,python接口自动化测试-接口sign签名战撸码)
分享测试知识
07-05 453
一般公司对外的接口都会用到 sign 签名,对不同的客户提供不同的apikey ,这样可以提高接口请求的安全性,避免被人抓包后修改请求参数乱请求。接口sign签名一登陆的接口请求为例,如下接口抓包报文信息,其中sign签名规则如下第一步,拼接字符串,首先去除sign参数本身,然后去除值是空的参数p3,剩下p2=v2&p1=v1&method=cancel&pn=vn,然后按参数名字符升序排序,method=cancel&p1=v1&p2=v2&pn=vn.
python flask 签名验证
09-04
- *1* *2* *3* [python flask 接口签名sign原理代码](https://blog.csdn.net/w1054230914/article/details/128872847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值