微信公众平台签名为什么需要加nonce参数?
微信公众平台开发文档中提到签名的方法为:
msg_signature=sha1(sort(Token、timestamp、nonce, msg_encrypt))
其中nonce是调用方生成的随机数。
问题是,nonce在这里起什么作用? 对端应该对nonce做怎样的校验?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
首先,并不是为了增加sign被猜出来的难度。
timestamp+nonce主要是为了防止重放攻击。
攻击者可能截获请求,然后反复发送请求(注意,并不是篡改),这时服务端校验签名是能够校验通过的。
服务端为了防止这种攻击,要求调用方:即使每次请求的其他参数相同,也要重新生成nonce和timestamp。如果timestamp和服务端的时间相差超过一定值,直接返回失败;如果两次请求使用的timestamp+nonce相同,就认为是重放攻击,直接返回失败。
token、timestamp、nonce 都是为了给增加 sign 被猜出来的难度。
新增随机数是为了加大伪造的难度,token、timestamp、nonce,三个数中,token只有自己知道而且是不变的,后面两个参数是变化的。随机数是不确定的,攻击中无法伪造。验证端只要按照约定的算法再运算一遍,就知道是不是微信服务器的请求了。