详解淘宝H5 sign加密算法

通天塔阿阿

淘宝对于h5的访问采用了和客户端不同的方式，由于在h5的js代码中保存appsercret具有较高的风险，mtop采用了随机分配令牌的方式，为每个访问端分配一个token，保存在用户的cookie中，通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,MTOP利用这个摘用值和cookie中的token来防止URL篡改。
流程

当本地cookie中的token为空时（通常是第一次访问），mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答，同时mtop会生成token写入cookie中（response.cookies）；
第二次请求时，js通过读取cookie中的token值，按照约定的算法生成sign, sign在mtop的请求中带上，mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较，检查通过将返回api的应答，失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”；
cookie中的token是有时效性的，遇到token失效时，将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求；
关于cookie中的token的自我检查，由于token在cookie中是明文的，可能会被仿冒，在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的（利用加密后的token和私钥还原token，与回传的明文token比较）
sign 生成
关于sign的生成公式：

1. md5Hex(token&t&appKey&data)

复制代码

如：md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")
sign=4c1e7b6853fa7a5e1b8f7066ee22932f
实现代码：

1. public static String calcSignature(String token, String timestamp, String appKey, String data) {
   
2.         return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
   
3.                 + timestamp + "&" + appKey + "&" + data);
   
4.     }
   
5. 
   
6.     public static void main(String[] args) {
   
7.         String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
   
8.         String timestamp="1572522062317";
   
9.         String sign = calcSignature(token, timestamp, "12345678", "{"itemNumId":"1502111132496"}");
   
10.         System.out.println(sign);
    
11.     }

复制代码

token
m_h5tk: 格式为 明文token_expireTime, 从response.cookies处获取，如： 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317
token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
失效时间是 1572522062317
可封装在一个类中负责存储token

1. @Data
   
2. @NoArgsConstructor
   
3. @AllArgsConstructor
   
4. @Builder
   
5. public class Credentials implements Comparable<Credentials> {
   
6.     private String _m_h5_tk;
   
7.     private String _m_h5_tk_enc;
   
8. 
   
9.     private static final int OFFSET = 60000;
   
10. 
    
11.     public String getToken() {
    
12.         return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
    
13.     }
    
14. 
    
15.     public long getExpireTimestamp() {
    
16.         long t = new Date().getTime() - OFFSET;
    
17.         if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
    
18.             return t;
    
19.         }
    
20.         try {
    
21.             return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
    
22.         } catch (NumberFormatException e) {
    
23.             return t;
    
24.         }
    
25.     }
    
26. 
    
27.     public boolean isExpired() {
    
28.         if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
    
29.             return true;
    
30.         }
    
31.         return new Date().getTime() > getExpireTimestamp();
    
32.     }
    
33. 
    
34.     @Override
    
35.     public int compareTo(Credentials o) {
    
36.         return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
    
37.     }
    
38. }

复制代码

t
很简单，即时间戳 通过 new Date().getTime() 获得
appKey
固定数值 通过抓包工具在请求参数中可获得，参数名 appKey
data
提交的参数 通过抓包工具在请求参数中可获得 通常是一个JSON字符串
到此这篇关于详解淘宝H5 sign加密算法的文章就介绍到这了,更多相关淘宝H5 sign加密内容请搜索脚本之家以前的文章或继续浏览下面的相关文章，希望大家以后多多支持脚本之家！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

未知

友善的讨论氛围是非常重要的。

1.桃花

已测试，非常不错

阿强不喜欢开挂

666666666666666666

日日聊游戏

嘎嘎嘎嘎嘎嘎嘎

怕碗落地

同意你的观点，我们有共鸣。

冷梦v

友善的讨论氛围是非常重要的。

t76634692

我不太确定，可能需要再确认一下。

9852672

666666666666666666

阿强不喜欢开挂

感谢分享，受益匪浅！