淘宝对于h5的访问采用了和客户端不同的方式，由于在h5的js代码中保存appsercret具有较高的风险，mtop采用了随机分配令牌的方式，为每个访问端分配一个token，保存在用户的cookie中，通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign,MTOP利用这个摘用值和cookie中的token来防止URL篡改。
流程

当本地cookie中的token为空时（通常是第一次访问），mtop会收到”FAIL_SYS_TOKEN_EXOIRED:: 令牌过期“这个错误应答，同时mtop会生成token写入cookie中（response.cookies）；
第二次请求时，js通过读取cookie中的token值，按照约定的算法生成sign, sign在mtop的请求中带上，mtop通过cookie中和token用同样的方式计算出sign,与请求的sign进行比较，检查通过将返回api的应答，失败提示“FAIL_SYS_ILLEGAL_ACCESS:: 非法请求”；
cookie中的token是有时效性的，遇到token失效时，将收到应答"FAIL_SYS_TOKEN_EXOIRED:: 令牌过期", 同时会写入新的token,js利用新的token重新计算sign并重发请求；
关于cookie中的token的自我检查，由于token在cookie中是明文的，可能会被仿冒，在输出的cookie中包含一个用非对称密钥的公钥加密后的token, MTOP在每次请求时会先检查cookie中的token是否是由服务端分配出去的（利用加密后的token和私钥还原token，与回传的明文token比较）
sign 生成
关于sign的生成公式：

1. md5Hex(token&t&appKey&data)

复制代码

如：md5Hex("30dc68e5b4cf40ebd02fb05673c7e3b7&1572522062317&12345678&{"itemNumId":"1502111132496"}")
sign=4c1e7b6853fa7a5e1b8f7066ee22932f
实现代码：

1. public static String calcSignature(String token, String timestamp, String appKey, String data) {
   
2.         return DigestUtils.md5Hex(StringUtils.trimToEmpty(token) + "&"
   
3.                 + timestamp + "&" + appKey + "&" + data);
   
4.     }
   
5. 
   
6.     public static void main(String[] args) {
   
7.         String token="30dc68e5b4cf40ebd02fb05673c7e3b7";
   
8.         String timestamp="1572522062317";
   
9.         String sign = calcSignature(token, timestamp, "12345678", "{"itemNumId":"1502111132496"}");
   
10.         System.out.println(sign);
    
11.     }

复制代码

token
m_h5tk: 格式为 明文token_expireTime, 从response.cookies处获取，如： 30dc68e5b4cf40ebd02fb05673c7e3b7_1572522062317
token就是 30dc68e5b4cf40ebd02fb05673c7e3b7
失效时间是 1572522062317
可封装在一个类中负责存储token

1. @Data
   
2. @NoArgsConstructor
   
3. @AllArgsConstructor
   
4. @Builder
   
5. public class Credentials implements Comparable<Credentials> {
   
6.     private String _m_h5_tk;
   
7.     private String _m_h5_tk_enc;
   
8. 
   
9.     private static final int OFFSET = 60000;
   
10. 
    
11.     public String getToken() {
    
12.         return StringUtils.isEmpty(_m_h5_tk) ? null : _m_h5_tk.substring(0, _m_h5_tk.indexOf("_"));
    
13.     }
    
14. 
    
15.     public long getExpireTimestamp() {
    
16.         long t = new Date().getTime() - OFFSET;
    
17.         if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
    
18.             return t;
    
19.         }
    
20.         try {
    
21.             return Long.parseLong(_m_h5_tk.substring(_m_h5_tk.indexOf("_") + 1));
    
22.         } catch (NumberFormatException e) {
    
23.             return t;
    
24.         }
    
25.     }
    
26. 
    
27.     public boolean isExpired() {
    
28.         if (StringUtils.isEmpty(_m_h5_tk) || StringUtils.isEmpty(_m_h5_tk_enc)) {
    
29.             return true;
    
30.         }
    
31.         return new Date().getTime() > getExpireTimestamp();
    
32.     }
    
33. 
    
34.     @Override
    
35.     public int compareTo(Credentials o) {
    
36.         return Long.compare(o.getExpireTimestamp(), this.getExpireTimestamp());
    
37.     }
    
38. }

复制代码

t
很简单，即时间戳 通过 new Date().getTime() 获得
appKey
固定数值 通过抓包工具在请求参数中可获得，参数名 appKey
data
提交的参数 通过抓包工具在请求参数中可获得 通常是一个JSON字符串
到此这篇关于详解淘宝H5 sign加密算法的文章就介绍到这了,更多相关淘宝H5 sign加密内容请搜索脚本之家以前的文章或继续浏览下面的相关文章，希望大家以后多多支持脚本之家！

来源：https://www.jb51.net/html5/742257.html
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！