小红书API签名算法分析

小红书APP API接口使用url中的sign参数和header中shield参数来校验请求的有效性，咱们随便看一个API请求：

GET https://www.xiaohongshu.com/api/sns/v1/system_service/config?launchtimes=1&platform=android&deviceId=e0805561-6579-3ec6-b717-d64adf33c3ef&device_fingerprint=20190519202808a5dac07354d5e3b71a01abb98b0d6dc6016852749a37a304&device_fingerprint1=20190519202808a5dac07354d5e3b71a01abb98b0d6dc6016852749a37a304&versionName=5.45.0&channel=xiaohongshu&sid=session.1558744693398053223445&lang=zh-Hans&t=1558749910&sign=c4513e220ab27a8561191440d912f457 HTTP/1.1
device_id: e0805561-6579-3ec6-b717-d64adf33c3ef
Authorization: session.1558744693398053223445
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1.1; 2014813 MIUI/7.11.16) Resolution/720*1280 Version/5.45.0 Build/5450095 Device/(Xiaomi;2014813) NetType/WiFi
shield: aa1fb61921361897c61894b5444a2d0715c75caa473dd8991187f78a22cdcfa0
Host: www.xiaohongshu.com
Connection: Keep-Alive
Accept-Encoding: gzip
复制代码

sign参数是用url中的参数计算出来的，大概流程以下：

1. 把url中的参数按key=value的形式按字母顺序拼接到一块儿
2. 对1的结果进行url encode
3. 把2的结果转成byte array
4. 从url中获取deviceId，并转成byte array
5. 对3和4的结果每一个字节进行相关的异或运算

   

6. 把5的结果的md5和deviceId拼接到一块儿
7. 计算6的结果的md5

shield参数是由带上sign参数的url计算出来的，是经过拦截请求，在header中插入shield字段，这部分是在process方法中实现，process是一个native方法，在libshield.so中定义。

小红书API的签名参数计算流程就这样，对细节感兴趣的朋友能够 联系我。