防盜煉之URL引數簽名 總結

2021-09-07 16:11:17 字數 836 閱讀 8998

傳統的 ip 禁用、referer 防盜煉、user-agent 防盜煉、地區訪問控制等防盜煉措施已經無法完全滿足使用者要求,所以開發出url引數簽名方式來防盜煉

token防盜鍊是通過對時間有關的字串進行簽名,將時間、簽名資訊通過一定的方式傳遞給 web server節點伺服器作為判定依據,web server節點依據約定的演算法判斷來訪的 url 是否有訪問許可權。如果通過,執行下一步;如果不通過,響應 http 403 狀態碼或者通過 302 跳轉到其他 url。

1、簽名引數

etime: url 過期的時間,必須是 unix time 格式,如:2017/3/9 9:19:0 -> 1489022340

secret: 和 平台約定的簽名金鑰,需要在 平台後端管理控制台配置,(服務->  配置 -> 防盜煉 -> token 防盜煉);

2、演算法:

sign = md5( secret & etime & uri )

token = md5( secret & etime & uri ) + etime

假設當前的 unix time 時間為:1370000000,某資源(例如: 分鐘有效,則:

最後經過客戶端業務伺服器生成的 url 為:

三、驗證

AS3獲取當前URL位址以及防盜煉

前陣子弄了個小遊戲,然後想著像以前那樣加個防盜煉的功能 其實到最後也都沒加,小破遊戲會有誰來鏈啊 不過在這裡可以講講實現的方法。一般來說flash防盜煉的手法都是獲取當前的url位址,然後跟事先指定的乙個url進行比對。獲取當前url的方法非常簡單,有下面這句就可以了 loaderinfo.url ...

python爬蟲之防盜煉處理

如果我們直接發起請求會返回以下錯誤結果 所以需要在headers中設定referer import random import time import requests from fake useragent import useragent def get rel link cont id str...

關於引數簽名的總結

引數簽名 這是我們今天討論的重點 引數簽名可以保證開發的者的資訊被冒用後,資訊不會被洩露和受損。原因在於接入者和提供者都會對每一次的介面訪問進行簽名和驗證。下面我們就簡述下這個過程。可以這樣理解接入者把需求訪問的介面的所有必要的引數資訊 一般都會有乙個accesskey id,用於標示接入者的資訊,...