Flask介面簽名sign原理與範例程式碼淺析

2023-10-31 22:00:05

作用

防止有人不停的刷介面，對介面作限制

比如說，登入介面，按道理說，應該只有app會請求這個介面

但是，如果有人抓取app的請求，就會得到登入介面的地址和請求引數

如果他寫了個指令碼，不斷的存取登入介面，去測登入名密碼，那麼有些有些使用者的密碼策略過於簡單，是很容易被試出來的

所以，介面簽名就是專門用來限制這個的，只有app(自己人)才能通過校驗

原理

1.伺服器和app，各自儲存一個相同的祕鑰

2.app請求時，把傳的引數用祕鑰進行加密，生成一個sign簽名，一同傳遞過去

3.伺服器接到請求後，也會對傳遞的引數進行加密，也生成一個sign簽名，拿伺服器生成的sign和介面請求的sing比對一下，如果相同，那麼就可以證明，是自己人請求的，就予以放行

因為這個祕鑰，只有自己人才會有，同樣的祕鑰生成的sign簽名，肯定是一模一樣的

這個祕鑰，一般是開發的時候，線下給到app開發，整合編譯到app裡面的

問題

舉例，app和伺服器，各自儲存了一個祕鑰，進行簽名驗證

1.app請求登入介面，賬號名為abcd，密碼為123456，

2.app對賬戶名和密碼用祕鑰加密生成簽名，去請求登入介面

3.伺服器收到請求，對賬號名和密碼也用祕鑰加密生成簽名，對比發現簽名一致，然後予以通過

4.請求成功

問題1

但是，如果下次app還去請求登入的時候，生成的簽名，是不是還是一模一樣？

因為都是對賬號和密碼加密生成簽名，那麼只要賬號和密碼不變，那麼生成的簽名肯定是一模一樣的

那如果壞人直接抓包拿到簽名、賬號和密碼，是不是他也可以仿造登入請求，要知道，伺服器只接受請求，他是分辨不出來的

所以，即使是相同的賬號和密碼，也要保證，每次的簽名都不一致

解決辦法

在對賬號和密碼進行加密的時候，生成當前時間的時間戳，一起加密，這樣就保證了每次生成的簽名都一樣了

傳遞引數的時候，也需要把加密用的時間戳一同傳遞過去，因為請求時候延遲的，伺服器並不知道你是哪個時間進行加密的

那麼現在生成簽名和請求的步驟就是：

1.app先對賬號、密碼、時間戳，用祕鑰進行加密得到簽名

2.app請求登入介面，傳參：賬號、密碼、時間戳、簽名

問題2

那麼問題又來了，跟剛才的問題一樣，如果有人抓包，得到賬號、密碼、時間戳、簽名，然後去偽造請求，是不是伺服器還會通過？

只要賬號、密碼、時間戳不變化，那麼生成的簽名，還是一模一樣的。

解決辦法

伺服器對時間戳進行校驗，與當前時間不能相差10秒

這樣就保證了，這個簽名的有效期只有10秒，過了10秒後，就失效了

如果想要新的簽名，那麼就需要用新的時間戳了

程式碼

如果需要傳遞很多引數的時候，還需要對引數進行排序後再加密，要不然app和伺服器用了不一樣的字串加密，校驗還是會失敗的

import hashlib  
import time  
salt = 'nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5'  # 鹽, 加密生成簽名的祕鑰  
def validate_sign(sign, ts, **kwargs):  
    """時間戳有效期10秒，排序順序為：鹽+時間戳+按照字母排序的引數的值"""  
    # 首先判斷ts時間戳，有沒有超過10秒有效期  
    now_ts = int(time.time())  
    if now_ts - int(ts) > 10:  
        return False  
    # 對字典中的鍵進行排序  
    sort_dict = sorted(kwargs.items(), key=lambda x: x[0])  
    # 按照排序拿出值，拼接成字串，然後加密生成簽名  
    s = salt + str(ts)  
    for key, value in sort_dict:  
        s += str(value)  
    # 使用sha256加密，與app也要約定好加密方式  
    new_sign = hashlib.sha256(s.encode('utf-8')).hexdigest()  
    # 比對簽名是否一致  
    if sign == new_sign:  
        return True  
    return False  
validate_sign(1, int(time.time()), phone="15555555555", password="123456")  
# 排序後的字串：nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5167541269212345615555555555  
# 生成的簽名: d87f2833c1f6a1d0d3c67bafdeb0965b0503385dce615662229b27333c9963f7

到此這篇關於Flask介面簽名sign原理與範例程式碼淺析的文章就介紹到這了,更多相關Flask介面簽名sign內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com！

Flask介面簽名sign原理與範例程式碼淺析

目錄

作用

原理

問題

問題1

解決辦法

問題2

解決辦法

程式碼

熱門文章