极客观点
项目管理
HarmonyOS
微信公众平台开发文档中提到签名的方法为:
msg_signature=sha1(sort(Token、timestamp、nonce, msg_encrypt))
其中nonce是调用方生成的随机数。
问题是,nonce在这里起什么作用? 对端应该对nonce做怎样的校验?
新增随机数是为了加大伪造的难度,token、timestamp、nonce,三个数中,token只有自己知道而且是不变的,后面两个参数是变化的。随机数是不确定的,攻击中无法伪造。验证端只要按照约定的算法再运算一遍,就知道是不是微信服务器的请求了。
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
宣传栏
首先,并不是为了增加sign被猜出来的难度。
timestamp+nonce主要是为了防止重放攻击。
攻击者可能截获请求,然后反复发送请求(注意,并不是篡改),这时服务端校验签名是能够校验通过的。
服务端为了防止这种攻击,要求调用方:即使每次请求的其他参数相同,也要重新生成nonce和timestamp。如果timestamp和服务端的时间相差超过一定值,直接返回失败;如果两次请求使用的timestamp+nonce相同,就认为是重放攻击,直接返回失败。