淘宝sign加密算法js代码加密软件
淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,
MTOP利用这个摘用值和cookie中的token来防止URL篡改。
流程
当本地cookie中的token为空时(通常是第一次访问),mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过
期“这个错误应答,同时mtop会生成token写入cookie中(kies)。
第二次请求时,js通过读取cookie中的token值,按照约定的算法生成sign, sign在mtop的请求中带上,mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较,检查通过将返回api的应答,失败提
示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”
cookie中的token是有时效性的,遇到token失效时,将收到应答”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期”, 同时会写入新的token,js利用新的token重新计算sign并重发请求。
关于cookie中的token的自我检查,由于token在cookie中是明文的,可能会被仿冒,在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的(利用加密后的token和私钥还原token,与回传的明文token比较)
sign 生成
关于sign的生成公式:
md5Hex(token&t&appKey&data)
如:md5Hex(“645d1f414d4914297dfaab40f3f76016 &1234&4272&{“itemNumId”:”1500011132496”}”)
sign=d2b2f818a03496b296b899a230c03abd
token
关于cookie的有效时长,cookie的有效时长为7天,但是token的有效时长目前为60分钟
_m_h5_tk: 格式为明文token_expireTime, 从kies处获取,
如: 2fcd2baa62fc60f73c0487a9f8a0a9d1_1362559577301
token就是2fcd2baa62fc60f73c0487a9f8a0a9d1
t
很简单,即时间戳 int(time.time()*1000)
appKey
一般是固定数值
data
一般是提交的参数
example
如何寻
看下面这段js
你可能会问,如何寻,答案是js断点,一步步调试。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。