Flask接口簽名sign原理與實例代碼淺析

Posted on by

覺得廢話多的話,可以直接看代碼

作用

防止有人不停的刷接口,對接口作限制

比如說,登錄接口,按道理說,應該隻有app會請求這個接口

但是,如果有人抓取app的請求,就會得到登錄接口的地址和請求參數

如果他寫瞭個腳本,不斷的訪問登錄接口,去測登錄名密碼,那麼有些有些用戶的密碼策略過於簡單,是很容易被試出來的

所以,接口簽名就是專門用來限制這個的,隻有app(自己人)才能通過校驗

原理

1.服務器和app,各自存儲一個相同的秘鑰

2.app請求時,把傳的參數用秘鑰進行加密,生成一個sign簽名,一同傳遞過去

3.服務器接到請求後,也會對傳遞的參數進行加密,也生成一個sign簽名,拿服務器生成的sign和接口請求的sing比對一下,如果相同,那麼就可以證明,是自己人請求的,就予以放行

因為這個秘鑰,隻有自己人才會有,同樣的秘鑰生成的sign簽名,肯定是一模一樣的

這個秘鑰,一般是開發的時候,線下給到app開發,集成編譯到app裡面的

問題

舉例,app和服務器,各自保存瞭一個秘鑰,進行簽名驗證

1.app請求登錄接口,賬號名為abcd,密碼為123456,

2.app對賬戶名和密碼用秘鑰加密生成簽名,去請求登錄接口

3.服務器收到請求,對賬號名和密碼也用秘鑰加密生成簽名,對比發現簽名一致,然後予以通過

4.請求成功

問題1

但是,如果下次app還去請求登錄的時候,生成的簽名,是不是還是一模一樣?

因為都是對賬號和密碼加密生成簽名,那麼隻要賬號和密碼不變,那麼生成的簽名肯定是一模一樣的

那如果壞人直接抓包拿到簽名、賬號和密碼,是不是他也可以仿造登錄請求,要知道,服務器隻接受請求,他是分辨不出來的

所以,即使是相同的賬號和密碼,也要保證,每次的簽名都不一致

解決辦法

在對賬號和密碼進行加密的時候,生成當前時間的時間戳,一起加密,這樣就保證瞭每次生成的簽名都一樣瞭

傳遞參數的時候,也需要把加密用的時間戳一同傳遞過去,因為請求時候延遲的,服務器並不知道你是哪個時間進行加密的

那麼現在生成簽名和請求的步驟就是:

1.app先對賬號、密碼、時間戳,用秘鑰進行加密得到簽名

2.app請求登錄接口,傳參:賬號、密碼、時間戳、簽名

問題2

那麼問題又來瞭,跟剛才的問題一樣,如果有人抓包,得到賬號、密碼、時間戳、簽名,然後去偽造請求,是不是服務器還會通過?

隻要賬號、密碼、時間戳不變化,那麼生成的簽名,還是一模一樣的。

解決辦法

服務器對時間戳進行校驗,與當前時間不能相差10秒

這樣就保證瞭,這個簽名的有效期隻有10秒,過瞭10秒後,就失效瞭

如果想要新的簽名,那麼就需要用新的時間戳瞭

代碼

如果需要傳遞很多參數的時候,還需要對參數進行排序後再加密,要不然app和服務器用瞭不一樣的字符串加密,校驗還是會失敗的

import hashlib  
import time  
salt = 'nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5'  # 鹽, 加密生成簽名的秘鑰  
def validate_sign(sign, ts, **kwargs):  
    """時間戳有效期10秒,排序順序為:鹽+時間戳+按照字母排序的參數的值"""  
    # 首先判斷ts時間戳,有沒有超過10秒有效期  
    now_ts = int(time.time())  
    if now_ts - int(ts) > 10:  
        return False  
    # 對字典中的鍵進行排序  
    sort_dict = sorted(kwargs.items(), key=lambda x: x[0])  
    # 按照排序拿出值,拼接成字符串,然後加密生成簽名  
    s = salt + str(ts)  
    for key, value in sort_dict:  
        s += str(value)  
    # 使用sha256加密,與app也要約定好加密方式  
    new_sign = hashlib.sha256(s.encode('utf-8')).hexdigest()  
    # 比對簽名是否一致  
    if sign == new_sign:  
        return True  
    return False  
validate_sign(1, int(time.time()), phone="15555555555", password="123456")  
# 排序後的字符串:nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5167541269212345615555555555  
# 生成的簽名: d87f2833c1f6a1d0d3c67bafdeb0965b0503385dce615662229b27333c9963f7

到此這篇關於Flask接口簽名sign原理與實例代碼淺析的文章就介紹到這瞭,更多相關Flask接口簽名sign內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: