淘宝sign加密算法

淘宝对于h5的访问采用了和客户端不同的方式，由于在h5的js代码中保存appsercret具有较高的风险，mtop采用了随机分配令牌的方式，为每个访问端分配一个token，保存在用户的cookie中，通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,

MTOP利用这个摘用值和cookie中的token来防止URL篡改。

流程

当本地cookie中的token为空时（通常是第一次访问），mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答，同时mtop会生成token写入cookie中（response.cookies）。

第二次请求时，js通过读取cookie中的token值，按照约定的算法生成sign, sign在mtop的请求中带上，mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较，检查通过将返回api的应答，失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”

cookie中的token是有时效性的，遇到token失效时，将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求。

关于cookie中的token的自我检查，由于token在cookie中是明文的，可能会被仿冒，在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的（利用加密后的token和私钥还原token，与回传的明文token比较）

sign 生成

关于sign的生成公式：

md5Hex(token&t&appKey&data)

如：md5Hex(“645d1f414d4914297dfaab40f3f76016 &1234&4272&{"itemNumId":"1500011132496"}”)

sign=d2b2f818a03496b296b899a230c03abd

token

关于cookie的有效时长，cookie的有效时长为7天，但是token的有效时长目前为60分钟

m_h5tk: 格式为 明文token_expireTime, 从response.cookies处获取，如：2fcd2baa62fc60f73c0487a9f8a0a9d1_1362559577301

token就是2fcd2baa62fc60f73c0487a9f8a0a9d1

t

很简单，即时间戳int(time.time()*1000)

appKey

一般是固定数值

data

一般是提交的参数

example

importrequests

headers={

'accept-encoding':'gzip,deflate,br',

'accept-language':'zh-CN,zh;q=0.9,en;q=0.8,zh-TW;q=0.7',

'user-agent':'Mozilla/5.0(iPhone;CPUiPhoneOS10_3likeMacOSX)AppleWebKit/602.1.50(KHTML,likeGecko)CriOS/56.0.2924.75Mobile/14E5239eSafari/602.1',

'accept':'*/*',

'referer':'https://h5./?sprefer=sypc00',

'authority':'h5api.',

'cookie':'t=cff5759b3198bafb639030a7296d6bff;cna=OOz3EwDBHU8CAS9eVNkZGaaY;thw=cn;_m_h5_tk=4dab06478749cf71bcb31296c169e46f_1534260967070;_m_h5_tk_enc=eb5abdfc8a3e52d0f7982d2ab34eb471;isg=BH9_A4W7GMQHLxzbVJKP32QcDlqleywDp44sWxFMGy51IJ-iGTRjVv02ZvbeeKt-',

}

params=(

('jsv','2.4.11'),

('appKey','12574478'),

('t','1534253767277'),

('sign','12c6fac6a03cf98c8f912413feeaeaaf'),

('api','mtop.taobao.wireless.home.load'),

('v','1.0'),

('type','jsonp'),

('dataType','jsonp'),

('callback','mtopjsonp2'),

('data','{"containerId":"main","ext":"{\\"h5_platform\\":\\"h5\\",\\"h5_ttid\\":\\"60000@taobao_h5_1.0.0\\"}"}'),

)

response=requests.get('https://h5api./h5/mtop.taobao.wireless.home.load/1.0/',headers=headers,params=params)

如何寻找

看下面这段js

#/hollywood/hollywood-lib/2.0.2/mtop.js

if(d.H5Request===!0){

varf="//"+(d.prefix?d.prefix+".":"")+(d.subDomain?d.subDomain+".":"")+d.mainDomain+"/h5/"+c.api.toLowerCase()+"/"+c.v.toLowerCase()+"/"

,g=c.appKey||("waptest"===d.subDomain?"4272":"12574478")

,i=(newDate).getTime()

,j=h(d.token+"&"+i+"&"+g+"&"+c.data)

,k={

jsv:w,

appKey:g,

t:i,

sign:j

}

,l={

data:c.data,

ua:c.ua

};

你可能会问，如何寻找，答案是js断点，一步步调试。

有兴趣的可以持续关注，以后会深入。

好久都没法东西了，主要是最近太忙，加班比较多；自己也变懒了，也在学一些新东西，就不知道写什么好，以后还是勤快点吧。

如果觉得《淘宝sign加密算法》对你有帮助，请点赞、收藏，并留下你的观点哦！