Flask接口簽名sign原理是什么

這篇文章主要介紹“Flask接口簽名sign原理是什么”，在日常操作中，相信很多人在Flask接口簽名sign原理是什么問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”Flask接口簽名sign原理是什么”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

作用

防止有人不停的刷接口，對接口作限制

比如說，登錄接口，按道理說，應該只有app會請求這個接口

但是，如果有人抓取app的請求，就會得到登錄接口的地址和請求參數

如果他寫了個腳本，不斷的訪問登錄接口，去測登錄名密碼，那么有些有些用戶的密碼策略過于簡單，是很容易被試出來的

所以，接口簽名就是專門用來限制這個的，只有app(自己人)才能通過校驗

原理

1.服務器和app，各自存儲一個相同的秘鑰

2.app請求時，把傳的參數用秘鑰進行加密，生成一個sign簽名，一同傳遞過去

3.服務器接到請求后，也會對傳遞的參數進行加密，也生成一個sign簽名，拿服務器生成的sign和接口請求的sing比對一下，如果相同，那么就可以證明，是自己人請求的，就予以放行

因為這個秘鑰，只有自己人才會有，同樣的秘鑰生成的sign簽名，肯定是一模一樣的

這個秘鑰，一般是開發的時候，線下給到app開發，集成編譯到app里面的

問題

舉例，app和服務器，各自保存了一個秘鑰，進行簽名驗證

1.app請求登錄接口，賬號名為abcd，密碼為123456，

2.app對賬戶名和密碼用秘鑰加密生成簽名，去請求登錄接口

3.服務器收到請求，對賬號名和密碼也用秘鑰加密生成簽名，對比發現簽名一致，然后予以通過

4.請求成功

問題1

但是，如果下次app還去請求登錄的時候，生成的簽名，是不是還是一模一樣？

因為都是對賬號和密碼加密生成簽名，那么只要賬號和密碼不變，那么生成的簽名肯定是一模一樣的

那如果壞人直接抓包拿到簽名、賬號和密碼，是不是他也可以仿造登錄請求，要知道，服務器只接受請求，他是分辨不出來的

所以，即使是相同的賬號和密碼，也要保證，每次的簽名都不一致

解決辦法

在對賬號和密碼進行加密的時候，生成當前時間的時間戳，一起加密，這樣就保證了每次生成的簽名都一樣了

傳遞參數的時候，也需要把加密用的時間戳一同傳遞過去，因為請求時候延遲的，服務器并不知道你是哪個時間進行加密的

那么現在生成簽名和請求的步驟就是：

1.app先對賬號、密碼、時間戳，用秘鑰進行加密得到簽名

2.app請求登錄接口，傳參：賬號、密碼、時間戳、簽名

問題2

那么問題又來了，跟剛才的問題一樣，如果有人抓包，得到賬號、密碼、時間戳、簽名，然后去偽造請求，是不是服務器還會通過？

只要賬號、密碼、時間戳不變化，那么生成的簽名，還是一模一樣的。

解決辦法

服務器對時間戳進行校驗，與當前時間不能相差10秒

這樣就保證了，這個簽名的有效期只有10秒，過了10秒后，就失效了

如果想要新的簽名，那么就需要用新的時間戳了

代碼

如果需要傳遞很多參數的時候，還需要對參數進行排序后再加密，要不然app和服務器用了不一樣的字符串加密，校驗還是會失敗的

import hashlib  
import time  
salt = 'nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5'  # 鹽, 加密生成簽名的秘鑰  
def validate_sign(sign, ts, **kwargs):  
    """時間戳有效期10秒，排序順序為：鹽+時間戳+按照字母排序的參數的值"""  
    # 首先判斷ts時間戳，有沒有超過10秒有效期  
    now_ts = int(time.time())  
    if now_ts - int(ts) > 10:  
        return False  
    # 對字典中的鍵進行排序  
    sort_dict = sorted(kwargs.items(), key=lambda x: x[0])  
    # 按照排序拿出值，拼接成字符串，然后加密生成簽名  
    s = salt + str(ts)  
    for key, value in sort_dict:  
        s += str(value)  
    # 使用sha256加密，與app也要約定好加密方式  
    new_sign = hashlib.sha256(s.encode('utf-8')).hexdigest()  
    # 比對簽名是否一致  
    if sign == new_sign:  
        return True  
    return False  
validate_sign(1, int(time.time()), phone="15555555555", password="123456")  
# 排序后的字符串：nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5167541269212345615555555555  
# 生成的簽名: d87f2833c1f6a1d0d3c67bafdeb0965b0503385dce615662229b27333c9963f7

到此，關于“Flask接口簽名sign原理是什么”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！