淘宝H5 sign加密算法

淘宝H5 sign加密算法

淘宝对于h5的访问采用了和客户端不一样的方式，因为在h5的js代码中保存appsercret具备较高的风险，mtop采用了随机分配令牌的方式，为每一个访问端分配一个token，保存在用户的cookie中，经过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,MTOP利用这个摘用值和cookie中的token来防止URL篡改。

流程

1. 当本地cookie中的token为空时（一般是第一次访问），mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过时“这个错误应答，同时mtop会生成token写入cookie中（response.cookies）；
2. 第二次请求时，js经过读取cookie中的token值，按照约定的算法生成sign, sign在mtop的请求中带上，mtop经过cookie中和token用一样的方式计算出sign,与请求的sign进行比较，检查经过将返回api的应答，失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”；
3. cookie中的token是有时效性的，遇到token失效时，将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过时", 同时会写入新的token,js利用新的token从新计算sign并重发请求；

关于cookie中的token的自我检查，因为token在cookie中是明文的，可能会被仿冒，在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是不是由服务端分配出去的（利用加密后的token和私钥还原token，与回传的明文token比较）

sign 生成

关于sign的生成公式：

md5Hex(token&t&appKey&data)

如：md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")

sign=4c1e7b6853fa7a5e1b8f7066ee22932f

实现代码：

public static String calcSignature(String token, String timestamp, String appKey, String data) {
        return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
                + timestamp + "&" + appKey + "&" + data);
    }

    public static void main(String[] args) {
        String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
        String timestamp="1572522062317";
        String sign = calcSignature(token, timestamp, "12345678", "{\"itemNumId\":\"1502111132496\"}");
        System.out.println(sign);
    }

token

m_h5tk: 格式为 明文token_expireTime, 从response.cookies处获取，如： 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317

token就是 30dc68e5b4cf40ebd02fb05673c7e3b7 失效时间是 1572522062317

可封装在一个类中负责存储token

@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class Credentials implements Comparable<Credentials> {
    private String _m_h5_tk;
    private String _m_h5_tk_enc;

    private static final int OFFSET = 60000;

    public String getToken() {
        return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
    }

    public long getExpireTimestamp() {
        long t = new Date().getTime() - OFFSET;
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return t;
        }
        try {
            return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
        } catch (NumberFormatException e) {
            return t;
        }
    }

    public boolean isExpired() {
        if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
            return true;
        }
        return new Date().getTime() > getExpireTimestamp();
    }

    @Override
    public int compareTo(Credentials o) {
        return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
    }
}

t

很简单，即时间戳 经过 new Date().getTime() 得到

appKey

固定数值 经过抓包工具在请求参数中可得到，参数名 appKey

data

提交的参数 经过抓包工具在请求参数中可得到 一般是一个JSON字符串

有兴趣的能够持续关注或联系本做者，之后会深刻研究关于淘宝相关技术。