简介
sign 签名是用于提供给外部(第三方)调用的接口,调用方需要提供正确的 appkey 钥匙才能调用,确保了接口的安全性。
前言
在 app 开放接口 api 的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在 web 项目中,大多数采用保存的 session 中,然后在存一份到 cookie 中,来保持用户的回话有效性。但是在 app 提供的开放接口中,后端服务器在用户登录后如何去验证和维护用户的登陆有效性呢,以下是参考项目中设计的解决方案,其原理和大多数开放接口安全验证一样,如淘宝的开放接口 token 验证,微信开发平台 token 验证都是同理。
接口安全等级
完全开放的接口, 没有任何验证
接口参数加密(签名)
接口参数加密+时效性验证
接口参数加密+时效性验证+私钥
接口参数加密+时效性验证+私钥+Https
签名设计
对于敏感的 api 接口,需使用 https 协议
https 是在 http 超文本传输协议加入 SSL 层,它在网络间通信是加密的,所以需要加密证书。
https 协议需要 ca 证书,一般需要交费。
sign 签名算法
签名算法规则:
- 第一步,设所有发送或者接收到的数据为集合 M,将集合 M 内非空参数值的参数按照参数名 ASCII 码从小到大排序(字典序),使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 stringA。
- 第二步,在 stringA 最后拼接上 KEY 得到 stringSignTemp 字符串(即stringSignTemp = stringA + &key=KEY),并对 stringSignTemp 进行 MD5 运算,再将得到的字符串所有字符转换为大写,得到 sign 值 signValue
用于签名的密钥 KEY 值为 keysecret
注意事项:
- a、参数名 ASCII 码从小到大排序(字典序);
- b、如果参数的值为空(即 null 或空字符串)不参与签名;
- c、参数名区分大小写;
- d、验证签名时,传送的 sign 参数不参与签名,将生成的签名与该 sign 值作校验;
- e、接口可能增加字段,验证签名时必须支持增加的扩展字段;
签名参数 sign 生成方法
假设有请求参数如下:
appkey = "111222333"
body = {
"username": "Test",
"Password": "123456",
"mail": "",
"sign": "xxx"
}
第一步
将所有参数(注意是所有参数),除去 sign 本身,以及值为空的参数,转化为键值对,没有等于号的字符串。
期望的结果如下:
["usernameTest", "Password123456"]
代码实现 2 种方式:
i[1] 指的是字典的值,i[0] 指的是字典的键。判断条件:如果值不等于空,而且键不等于 "sign"。则条件成立,for 循环遍历,往 list 列表里面添加 i,join 函数把所有取出来的 i,连接在一起。
1:for 循环实现:
l = [] for i in body.items(): if i[1] != "" and i[0] != "sign": l.append("".join(i)) print(l) # ["usernameTest", "Password123456"]
2:列表生成式实现:
s = ["".join(i) for i in body.items() if i[1] != "" and i[0] != "sign"] print(s) # ["usernameTest", "Password123456"]
第二步
排序后的参数按照参数 1 值 1,参数 2 值 2 的键值对顺序拼接成一个字符串,按参数名字母顺序升序排序。(具体升降顺序得问开发,一般为升序)
期望的结果如下:(按字母顺序:Password 开头的在 username 前面)
“Password123456usernameTest”
代码实现:
# TODO 按字母升序排序 sort = "".join(sorted(list)) print(sort)
实际结果:
'Password123456usernameTest'
第三步
在前面得到的字符串后面,加上接入方验证密匙 appkey。
期望结果:
Password123456usernameTest111222333
代码实现:
# todo 3:在第二步得到的字符串后面,加上接入方验证密匙key,然后计算md5值, result = sort+appkey print(result)
实际结果:
'Password123456usernameTest111222333'
第四步
然后将这个字符串换为小写进行 md5 加密计算,得到的这个值即为 sign 签名值。
注意,计算 md5 之前请确保接口与接入方的字符串编码一致,如统一使用 utf-8 编码或者 GBK 编码,如果编码方式不一致则计算出来的签名会校验失败。
代码实现:
# todo MD5 加密,固定的写法 def jiami(params): m = hashlib.md5() m.update(params.encode("utf-8")) return m.hexdigest() sign = jiami(result.lower()) #lower()把字符转为小写 print(sign)
实际结果:
'11b07f381c4ff5d7cd736af94519db2b'
全部过程如下
'''sign 签名主要是用于提供给外部(第三方)调用的接口, 需要提供 appkey 钥匙才能调用''' import hashlib appkey = "111222333" body = { "username": "Test", "Password": "123456", "mail": "", "sign": "xxx" } # todo 第1步: 将所有参数(注意是所有参数),除去 sign 本身,以及值是空的参数,转化为键值对的 #s = ["".join(i) for i in body.items() if i[1] != "" and i[0] != "sign"] #print(s) list = [] for i in body.items(): if i[1] != "" and i[0] != "sign": list.append("".join(i)) print(list) # todo 2:排序后的参数按照参数1值1,参数2值2的键值对顺序拼接成一个字符串,按参数名字母升序排序 # TODO 按字母升序排序 sort = "".join(sorted(list)) print(sort) # todo 3:在第二步得到的字符串后面,加上接入方验证密匙key,然后计算md5值, result = sort+appkey print(result) # todo MD5加密,固定的写法 def jiami(params): m = hashlib.md5() m.update(params.encode("utf-8")) return m.hexdigest() sign = jiami(result.lower()) #lower()把字符转为小写 print(sign)
封装后的
import hashlib def get_sign(body, appkey="111222333"): list = [] for i in body.items(): if i[1] != "" and i[0] != "sign": list.append("".join(i)) sort = "".join(sorted(list)) result = sort + appkey return result.lower() def jiami(params): m = hashlib.md5() m.update(params.encode("utf-8")) return m.hexdigest() body = { "username": "Test", "Password": "123456", "mail": "", "sign": "xxx" } #print(body.get("sign")) # todo get取字典的值不会报异常 #print(body["username"]) sign = jiami(get_sign(body)) #lower()把字符转为小写 print(sign)
python 接口自动化:对外接口 sign 签名
签名参数 sign 生成的方法:
在接口开发过程中,一般通过时间戳 + sign 作为密匙加密传输
实现代码如下:
# python 实现 sign 签名 import hashlib,time class sign: def get_time(self): t1=time.time() t=int(t1) return t def get_str(self, t, apikey): st = str(t) c=st + apikey return c def get_md5(self, c): md5=hashlib.md5() md5.update(c.encode('UTF-8')) m=md5.hexdigest() return m def get_sign(self, apikey, body): s=sign() t=s.get_time() stt=s.get_str(t, apikey) m=s.get_md5(stt) body['sign']=m return body if __name__ == '__main__': # 验证密钥,由开发提供 apikey="12345678" body={'username': 'swust','password': 'A123456','mail': '','sign': ''} bb=sign().get_sign(apikey, body) print(bb)