Flask接口簽名sign原理與實例代碼淺析

更新時間：2023年02月11日 16:00:00 作者：高冷的王哈哈

這篇文章主要介紹了Flask接口簽名sign原理與實例代碼，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)吧

作用

防止有人不停的刷接口，對接口作限制

比如說，登錄接口，按道理說，應(yīng)該只有app會請求這個接口

但是，如果有人抓取app的請求，就會得到登錄接口的地址和請求參數(shù)

如果他寫了個腳本，不斷的訪問登錄接口，去測登錄名密碼，那么有些有些用戶的密碼策略過于簡單，是很容易被試出來的

所以，接口簽名就是專門用來限制這個的，只有app(自己人)才能通過校驗

原理

1.服務(wù)器和app，各自存儲一個相同的秘鑰

2.app請求時，把傳的參數(shù)用秘鑰進(jìn)行加密，生成一個sign簽名，一同傳遞過去

3.服務(wù)器接到請求后，也會對傳遞的參數(shù)進(jìn)行加密，也生成一個sign簽名，拿服務(wù)器生成的sign和接口請求的sing比對一下，如果相同，那么就可以證明，是自己人請求的，就予以放行

因為這個秘鑰，只有自己人才會有，同樣的秘鑰生成的sign簽名，肯定是一模一樣的

這個秘鑰，一般是開發(fā)的時候，線下給到app開發(fā)，集成編譯到app里面的

問題

舉例，app和服務(wù)器，各自保存了一個秘鑰，進(jìn)行簽名驗證

1.app請求登錄接口，賬號名為abcd，密碼為123456，

2.app對賬戶名和密碼用秘鑰加密生成簽名，去請求登錄接口

3.服務(wù)器收到請求，對賬號名和密碼也用秘鑰加密生成簽名，對比發(fā)現(xiàn)簽名一致，然后予以通過

4.請求成功

問題1

但是，如果下次app還去請求登錄的時候，生成的簽名，是不是還是一模一樣？

因為都是對賬號和密碼加密生成簽名，那么只要賬號和密碼不變，那么生成的簽名肯定是一模一樣的

那如果壞人直接抓包拿到簽名、賬號和密碼，是不是他也可以仿造登錄請求，要知道，服務(wù)器只接受請求，他是分辨不出來的

所以，即使是相同的賬號和密碼，也要保證，每次的簽名都不一致

解決辦法

在對賬號和密碼進(jìn)行加密的時候，生成當(dāng)前時間的時間戳，一起加密，這樣就保證了每次生成的簽名都一樣了

傳遞參數(shù)的時候，也需要把加密用的時間戳一同傳遞過去，因為請求時候延遲的，服務(wù)器并不知道你是哪個時間進(jìn)行加密的

那么現(xiàn)在生成簽名和請求的步驟就是：

1.app先對賬號、密碼、時間戳，用秘鑰進(jìn)行加密得到簽名

2.app請求登錄接口，傳參：賬號、密碼、時間戳、簽名

問題2

那么問題又來了，跟剛才的問題一樣，如果有人抓包，得到賬號、密碼、時間戳、簽名，然后去偽造請求，是不是服務(wù)器還會通過？

只要賬號、密碼、時間戳不變化，那么生成的簽名，還是一模一樣的。

解決辦法

服務(wù)器對時間戳進(jìn)行校驗，與當(dāng)前時間不能相差10秒

這樣就保證了，這個簽名的有效期只有10秒，過了10秒后，就失效了

如果想要新的簽名，那么就需要用新的時間戳了

代碼

如果需要傳遞很多參數(shù)的時候，還需要對參數(shù)進(jìn)行排序后再加密，要不然app和服務(wù)器用了不一樣的字符串加密，校驗還是會失敗的

import hashlib  
import time  
salt = 'nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5'  # 鹽, 加密生成簽名的秘鑰  
def validate_sign(sign, ts, **kwargs):  
    """時間戳有效期10秒，排序順序為：鹽+時間戳+按照字母排序的參數(shù)的值"""  
    # 首先判斷ts時間戳，有沒有超過10秒有效期  
    now_ts = int(time.time())  
    if now_ts - int(ts) > 10:  
        return False  
    # 對字典中的鍵進(jìn)行排序  
    sort_dict = sorted(kwargs.items(), key=lambda x: x[0])  
    # 按照排序拿出值，拼接成字符串，然后加密生成簽名  
    s = salt + str(ts)  
    for key, value in sort_dict:  
        s += str(value)  
    # 使用sha256加密，與app也要約定好加密方式  
    new_sign = hashlib.sha256(s.encode('utf-8')).hexdigest()  
    # 比對簽名是否一致  
    if sign == new_sign:  
        return True  
    return False  
validate_sign(1, int(time.time()), phone="15555555555", password="123456")  
# 排序后的字符串：nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5167541269212345615555555555  
# 生成的簽名: d87f2833c1f6a1d0d3c67bafdeb0965b0503385dce615662229b27333c9963f7

到此這篇關(guān)于Flask接口簽名sign原理與實例代碼淺析的文章就介紹到這了,更多相關(guān)Flask接口簽名sign內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: