Flask接口签名sign原理与实例代码浅析

更新时间：2023年02月11日 16:00:00 作者：高冷的王哈哈

这篇文章主要介绍了Flask接口签名sign原理与实例代码，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习吧

作用

防止有人不停的刷接口，对接口作限制

比如说，登录接口，按道理说，应该只有app会请求这个接口

但是，如果有人抓取app的请求，就会得到登录接口的地址和请求参数

如果他写了个脚本，不断的访问登录接口，去测登录名密码，那么有些有些用户的密码策略过于简单，是很容易被试出来的

所以，接口签名就是专门用来限制这个的，只有app(自己人)才能通过校验

原理

1.服务器和app，各自存储一个相同的秘钥

2.app请求时，把传的参数用秘钥进行加密，生成一个sign签名，一同传递过去

3.服务器接到请求后，也会对传递的参数进行加密，也生成一个sign签名，拿服务器生成的sign和接口请求的sing比对一下，如果相同，那么就可以证明，是自己人请求的，就予以放行

因为这个秘钥，只有自己人才会有，同样的秘钥生成的sign签名，肯定是一模一样的

这个秘钥，一般是开发的时候，线下给到app开发，集成编译到app里面的

问题

举例，app和服务器，各自保存了一个秘钥，进行签名验证

1.app请求登录接口，账号名为abcd，密码为123456，

2.app对账户名和密码用秘钥加密生成签名，去请求登录接口

3.服务器收到请求，对账号名和密码也用秘钥加密生成签名，对比发现签名一致，然后予以通过

4.请求成功

问题1

但是，如果下次app还去请求登录的时候，生成的签名，是不是还是一模一样？

因为都是对账号和密码加密生成签名，那么只要账号和密码不变，那么生成的签名肯定是一模一样的

那如果坏人直接抓包拿到签名、账号和密码，是不是他也可以仿造登录请求，要知道，服务器只接受请求，他是分辨不出来的

所以，即使是相同的账号和密码，也要保证，每次的签名都不一致

解决办法

在对账号和密码进行加密的时候，生成当前时间的时间戳，一起加密，这样就保证了每次生成的签名都一样了

传递参数的时候，也需要把加密用的时间戳一同传递过去，因为请求时候延迟的，服务器并不知道你是哪个时间进行加密的

那么现在生成签名和请求的步骤就是：

1.app先对账号、密码、时间戳，用秘钥进行加密得到签名

2.app请求登录接口，传参：账号、密码、时间戳、签名

问题2

那么问题又来了，跟刚才的问题一样，如果有人抓包，得到账号、密码、时间戳、签名，然后去伪造请求，是不是服务器还会通过？

只要账号、密码、时间戳不变化，那么生成的签名，还是一模一样的。

解决办法

服务器对时间戳进行校验，与当前时间不能相差10秒

这样就保证了，这个签名的有效期只有10秒，过了10秒后，就失效了

如果想要新的签名，那么就需要用新的时间戳了

代码

如果需要传递很多参数的时候，还需要对参数进行排序后再加密，要不然app和服务器用了不一样的字符串加密，校验还是会失败的

import hashlib  
import time  
salt = 'nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5'  # 盐, 加密生成签名的秘钥  
def validate_sign(sign, ts, **kwargs):  
    """时间戳有效期10秒，排序顺序为：盐+时间戳+按照字母排序的参数的值"""  
    # 首先判断ts时间戳，有没有超过10秒有效期  
    now_ts = int(time.time())  
    if now_ts - int(ts) > 10:  
        return False  
    # 对字典中的键进行排序  
    sort_dict = sorted(kwargs.items(), key=lambda x: x[0])  
    # 按照排序拿出值，拼接成字符串，然后加密生成签名  
    s = salt + str(ts)  
    for key, value in sort_dict:  
        s += str(value)  
    # 使用sha256加密，与app也要约定好加密方式  
    new_sign = hashlib.sha256(s.encode('utf-8')).hexdigest()  
    # 比对签名是否一致  
    if sign == new_sign:  
        return True  
    return False  
validate_sign(1, int(time.time()), phone="15555555555", password="123456")  
# 排序后的字符串：nx24Tej@R4gWVCopJkjHWjBo@n58LdQ5167541269212345615555555555  
# 生成的签名: d87f2833c1f6a1d0d3c67bafdeb0965b0503385dce615662229b27333c9963f7

到此这篇关于Flask接口签名sign原理与实例代码浅析的文章就介绍到这了,更多相关Flask接口签名sign内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

使用Python处理大文件的读取的方法小结
在日常的开发工作中,我们经常会遇到处理大文件的需求,无论是读取日志文件、处理数据集,还是分析超大文本文件,大文件操作都是一个非常常见的挑战,本文将详细介绍如何使用 Python 处理大文件的读取,介绍几种常用的技术,需要的朋友可以参考下
2024-11-11
浅谈Django+Gunicorn+Nginx部署之路
这篇文章主要介绍了Django+Gunicorn+Nginx部署之路，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-09-09
python在屏幕上点击特定按钮或图像效果实例
这篇文章主要给大家介绍了关于python在屏幕上点击特定按钮或图像效果的相关资料,文中通过实例代码介绍的非常详细,对大家学习或者使用python具有一定的参考学习价值,需要的朋友可以参考下
2022-09-09
学习python (1)
学习python (1)...
2006-10-10
python开发之for循环操作实例详解
这篇文章主要介绍了python开发之for循环操作,以实例形式较为详细的分析了Python中for循环的具体使用技巧,具有一定参考借鉴价值,需要的朋友可以参考下
2015-11-11
安装python时MySQLdb报错的问题描述及解决方法
这篇文章主要介绍了安装python时MySQLdb报错的问题描述及解决方法,需要的朋友可以参考下
2018-03-03
Django 实现图片上传和显示过程详解
这篇文章主要介绍了Django 实现图片上传和显示过程详解,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-07-07
Python virtualenv虚拟环境实现过程解析
这篇文章主要介绍了Python virtualenv虚拟环境实现过程解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-04-04
python下调用pytesseract识别某网站验证码的实现方法
下面小编就为大家带来一篇python下调用pytesseract识别某网站验证码的实现方法。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2016-06-06
Python flask框架实现浏览器点击自定义跳转页面
这篇文章主要介绍了Python flask框架实现浏览器点击自定义跳转页面,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-06-06