淘寶對于h5的訪問采用了和客戶端不同的方式,由于在h5的js代碼中保存appsercret具有較高的風險,mtop采用了隨機分配令牌的方式,為每個訪問端分配一個token,保存在用戶的cookie中,通過cookie帶回服務端分配的token, 客戶端利用分配的token對請求的URL參數生成摘要值sign,MTOP利用這個摘用值和cookie中的token來防止URL篡改。
流程
當本地cookie中的token為空時(通常是第一次訪問),mtop會收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌過期“這個錯誤應答,同時mtop會生成token寫入cookie中(response.cookies);
第二次請求時,js通過讀取cookie中的token值,按照約定的算法生成sign, sign在mtop的請求中帶上,mtop通過cookie中和token用同樣的方式計算出sign,與請求的sign進行比較,檢查通過將返回api的應答,失敗提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法請求”;
cookie中的token是有時效性的,遇到token失效時,將收到應答"FAIL_SYS_TOKEN_EXOIRED:: 令牌過期", 同時會寫入新的token,js利用新的token重新計算sign并重發請求;
關于cookie中的token的自我檢查,由于token在cookie中是明文的,可能會被仿冒,在輸出的cookie中包含一個用非對稱密鑰的公鑰加密后的token, MTOP在每次請求時會先檢查cookie中的token是否是由服務端分配出去的(利用加密后的token和私鑰還原token,與回傳的明文token比較)
sign 生成
關于sign的生成公式:
md5Hex(token&t&appKey&data)
如:md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")
sign=4c1e7b6853fa7a5e1b8f7066ee22932f
實現代碼:
public static String calcSignature(String token, String timestamp, String appKey, String data) {
return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
+ timestamp + "&" + appKey + "&" + data);
}
public static void main(String[] args) {
String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
String timestamp="1572522062317";
String sign = calcSignature(token, timestamp, "12345678", "{\&;itemNumId\&;:\&;1502111132496\&;}");
System.out.println(sign);
}
token
m_h5tk: 格式為 明文token_expireTime, 從response.cookies處獲取,如: 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317
token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
失效時間是 1572522062317
可封裝在一個類中負責存儲token
@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class Credentials implements Comparable<Credentials> {
private String _m_h5_tk;
private String _m_h5_tk_enc;
private static final int OFFSET = 60000;
public String getToken() {
return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
}
public long getExpireTimestamp() {
long t = new Date().getTime() - OFFSET;
if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
return t;
}
try {
return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
} catch (NumberFormatException e) {
return t;
}
}
public boolean isExpired() {
if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
return true;
}
return new Date().getTime() > getExpireTimestamp();
}
@Override
public int compareTo(Credentials o) {
return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
}
}
t
很簡單,即時間戳 通過 new Date().getTime() 獲得
appKey
固定數值 通過抓包工具在請求參數中可獲得,參數名 appKey
data
提交的參數 通過抓包工具在請求參數中可獲得 通常是一個JSON字符串
到此這篇關于詳解淘寶H5 sign加密算法的文章就介紹到這了,更多相關淘寶H5 sign加密內容請搜索腳本之家以前的文章或繼續瀏覽下面的相關文章,希望大家以后多多支持腳本之家!
