分享页Token参数签名校验
更新时间:2023-07-28
下面介绍在发布大屏和报表时,使用 Token 参数签名校验的方法。通过 Token 参数签名校验功能,您可以对大屏和报表交互时传递的参数进行签名鉴权,来防止访问者通过修改页面传递的参数来访问其他未授权的页面数据,从而提高数据以及用户信息的安全性。
前提条件
在使用 Token 参数签名校验前,请确保:
- 大屏或报表使用 Token 验证的方式进行公开分享,具体请参见「公开和加密分享」。
- 大屏在 URL 地址中传递参数(直接在 URL 后面加参数)。
- 大屏 URL 中传递的参数要求不能被篡改。
背景信息
例如:
某用户的系统嵌入了 Sugar BI 大屏,URL 地址通过 Token 计算出来,并且在 URL 地址中传递area(地区)参数给大屏以展示相对应地区的数据,可以使用 https://sugar.baidubce.com/dashboard/1827981ec07ac66f937a88c9e65f****?_sugar_time=1612959542484&_sugar_signature=H09EX3nMls%2FE6IzhZKr6U6LfNq2Xl%2FJK%2BxYWoPv65D****&area=华东 来访问大屏。
其中 area(地区)是为大屏传递的参数,存在被篡改的可能。比如华东的员工将 URL 改成 https://sugar.baidubce.com/dashboard/1827981ec07ac66f937a88c9e65f****?_sugar_time=1612959542484&_sugar_signature=H09EX3nMls%2FE6IzhZKr6U6LfNq2Xl%2FJK%2BxYWoPv65D****&area=华北 ,就可以看到华北的数据。因此,为了保证数据的安全,需要对用户传递的参数进行签名鉴权,保证计算得到的 URL 参数不能被更改,如果私自更改了传参,页面将无法访问。
签名参数规则
- 需要加入签名的参数,其参数名需以
sugar_sign_开头,后面可以带任何有效的参数名字符 - 不符合此签名参数规则的参数,将不会进行参数签名校验,允许修改参数值
- 签名参数按升序排序
使用流程
- 确定需要签名计算的参数名(即不允许被篡改的参数)
- 在大屏或报表开发完成后,使用 Token 验证的方式发布大屏或报表
- 使用带签名参数的 URL 计算生成访问大屏或报表的 URL
- 使用上一步中计算得到的 URL 访问大屏或报表,在访问过程中,系统会自动进行参数签名校验
- 如果参数签名校验功能正常,当访问者修改了签名参数,再次访问此 URL 时,访问会被拒绝
带签名参数的 URL 计算
shareID 说明
shareID 是大屏/报表在分享时自动生成的 url 中的部分,下面对大屏和报表中分别说明:
大屏分享的 url 地址如:https://sugar.aipage.com/dashboard/41510e632e1e1e4767b0a041030670ec,41510e632e1e1e4767b0a041030670ec 就是 shareID
报表分享的 url 地址如:https://sugar.aipage.com/report/r_1013e-8xdmi3ud-k9wl5p/06e84b7f924ecc9c33857e832de04127,06e84b7f924ecc9c33857e832de04127 就是 shareID
示例代码如下:
Node.js
Javascript
1const crypto = require('crypto');
2const querystring = require('querystring');
3const signedQueryParamReg = /^sugar_sign_.*/; // 符合此正则表达式的参数是需要签名的。
4let token = 'OAMf7CvniOGgoNijH9mFHEHSAf7****';
5let shareID = '1827981ec07ac66f937a88c9e65f****'; // shareID详见前面文档中的说明
6const time = Date.now();
7
8const customParams = {
9 sugar_sign_no: 191866,
10 name: 101
11};
12let signParamsStr = Object.keys(customParams)
13 .filter(paramName => customParams[paramName] && signedQueryParamReg.test(paramName))
14 .sort()
15 .map(param => `${param}=${customParams[param]}`)
16 .join('&');
17let stringToSign = [shareID, time];
18signParamsStr && stringToSign.push(signParamsStr);
19stringToSign = stringToSign.join('|');
20let signature = crypto.createHmac('sha256', token).update(stringToSign).digest().toString('base64');
21let queryParams = {
22 _sugar_time: time,
23 _sugar_signature: signature
24};
25
26Object.keys(customParams).forEach(paramName => {
27 queryParams[paramName] = customParams[paramName];
28});
29
30let url = `https://sugar.baidubce.com/dashboard/${shareID}?${querystring.stringify(queryParams)}`;
31console.log(url);PHP
Javascript
1<?php
2 $token = "OAMf7CvniOGgoNijH9mFHEHSAf7****";
3 $shareID = "1827981ec07ac66f937a88c9e65f****"; // shareID详见前面文档中的说明
4 $time = time()*1000;
5 $customParams = array(
6 'sugar_sign_no'=>'191866',
7 'name'=>'101'
8 );
9 $sign_array = preg_grep("/^sugar_sign_.*/", array_keys($customParams));
10 sort($sign_array);
11 function toPlain($v)
12 {
13 global $customParams;
14 return "$v=$customParams[$v]";
15 };
16 $signParamsStr = join("&",array_map("toPlain",$sign_array));
17 $stringToSign = $shareID.'|'.$time.'|'.$signParamsStr;
18 $signature = urlencode(base64_encode(hash_hmac('sha256', $stringToSign, $token, true)));
19 $queryParams = join("&",array_map("toPlain",array_keys($customParams)));
20 $url = "https://sugar.baidubce.com/dashboard/".$shareID."?_sugar_time=".$time."&_sugar_signature=".$signature."&".$queryParams;
21 echo $url;
22?>
23<iframe width=100% height=100% src="<?=$url?>"/>Java
Java
1package com.company;
2import java.security.*;
3import java.util.Date;
4import javax.crypto.*;
5import javax.crypto.spec.SecretKeySpec;
6import org.apache.commons.codec.binary.Base64;
7import java.net.URLEncoder;
8public class TokenTest {
9 public static String getSignedUrl(String shareID, String token, String signParamsStr) {
10 Date date = new Date();
11 Long time = date.getTime();
12 String stringToSign = shareID + "|" + time;
13 if (!StringUtils.isEmpty(signParamsStr)) {
14 stringToSign = stringToSign + "|" + signParamsStr;
15 }
16 String signature = HMACSHA256(stringToSign.getBytes(), token.getBytes());
17 String url = "https://sugar.baidubce.com/dashboard/" + shareID + "?_sugar_time=" + time + "&_sugar_signature=" + signature + "&" + signParamsStr;
18 return url;
19 }
20 /**
21 * 使用java原生的摘要实现SHA256加密。
22 * @param str加密后的报文。
23 * @return
24 */
25 public static String HMACSHA256(byte[] data, byte[] key) {
26 try {
27 SecretKeySpec signingKey = new SecretKeySpec(key, "HmacSHA256");
28 Mac mac = Mac.getInstance("HmacSHA256");
29 mac.init(signingKey);
30 return URLEncoder.encode(byte2Base64(mac.doFinal(data)));
31 } catch (NoSuchAlgorithmException e) {
32 e.printStackTrace();
33 } catch (InvalidKeyException e) {
34 e.printStackTrace();
35 }
36 return null;
37 }
38 private static String byte2Base64(byte[] bytes){
39 return Base64.encodeBase64String(bytes);
40 }
41 public static void main(String[] args) throws Exception {
42 String signedQueryParamReg = "^sugar_sign_.*";
43 Map<String, Integer> customParams = new HashMap<>();
44 customParams.put("sugar_sign_no", 191866);
45 customParams.put("name", 101);
46 String signParamsStr = customParams.entrySet().stream().filter(entry -> Pattern.matches(signedQueryParamReg, entry.getKey()))
47 .map(entry -> entry.getKey() + "=" + entry.getValue())
48 .sorted()
49 .collect(Collectors.joining("&"));
50 System.out.println(getSignedUrl("shareID", "token", signParamsStr)); // shareID详见前面文档中的说明
51 }
52}.NET
C#
1using System;
2using System.Security.Cryptography;
3using System.Text.RegularExpressions;
4using System.Collections.Generic;
5using System.Linq;
6using System.Web;
7using System.Text;
8
9namespace sugarToken
10{
11 class Program
12 {
13 static void Main(string[] args)
14 {
15 var dic = new Dictionary<string, string>(); // 自定义参数。
16 dic.Add("sugar_sign_no", "191866"); // sugar_sign_开头,需要签名。
17 dic.Add("sugar_sign_lo", "mm");
18 dic.Add("sugar_sign_mo", "aa");
19
20 dic.Add("name", "101"); // 不需要签名。
21 // 分享页前缀,大屏分享shareID、token,自定义参数字典。
22 Console.WriteLine(GenerateUrl("https://sugar.baidubce.com/dashboard/", "1827981ec07ac66f937a88c9e65f****", "OAMf7CvniOGgoNijH9mFHEHSAf7****", dic));
23 }
24 private static string GenerateUrl(string sugarBase, string shareID, string token, Dictionary<string, string> customParams)
25 {
26 string pattern = @"^sugar_sign_.*";
27 string timestamp = GetTimeStamp();
28
29 // 参数排序
30 Dictionary<string, string>.KeyCollection keyCol = customParams.Keys;
31 List<string> signKeys = new List<string>();
32
33 foreach (var item in keyCol.ToList())
34 {
35 if (Regex.IsMatch(item, pattern))
36 {
37 signKeys.Add(item);
38 }
39 }
40
41 // 按照key排序
42 signKeys = signKeys.OrderBy(k => k).ToList();
43
44 string paramsSignStr = signKeys.Aggregate("", (total, key) =>
45 {
46 if (total != "")
47 {
48 total += "&";
49 }
50 total += key + "=" + customParams[key];
51 return total;
52 });
53
54 string signStr = shareID + "|" + timestamp + "|" + paramsSignStr;
55
56 var encoding = new System.Text.ASCIIEncoding();
57 byte[] keyByte = encoding.GetBytes(token);
58 byte[] messageBytes = encoding.GetBytes(signStr);
59 string signature;
60 using (var hmacsha256 = new HMACSHA256(keyByte))
61 {
62 byte[] hashmessage = hmacsha256.ComputeHash(messageBytes);
63 signature = Convert.ToBase64String(hashmessage);
64 }
65
66 var paramDic = new Dictionary<string, string>();
67 paramDic.Add("_sugar_time", timestamp);
68 paramDic.Add("_sugar_signature", signature);
69
70 foreach (var item in customParams)
71 {
72 paramDic.Add(item.Key, item.Value);
73 }
74 return sugarBase + shareID + "?" + ParseToString(paramDic);
75 }
76 public static string GetTimeStamp()
77 {
78 TimeSpan ts = DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, 0);
79 return Convert.ToInt64(ts.TotalMilliseconds).ToString();
80 }
81 static public string ParseToString(IDictionary<string, string> parameters)
82 {
83 IDictionary<string, string> sortedParams = new SortedDictionary<string, string>(parameters);
84 IEnumerator<KeyValuePair<string, string>> dem = sortedParams.GetEnumerator();
85
86 StringBuilder query = new StringBuilder("");
87 while (dem.MoveNext())
88 {
89 string key = dem.Current.Key;
90 string value = dem.Current.Value;
91 if (!string.IsNullOrEmpty(key) && !string.IsNullOrEmpty(value))
92 {
93 query.Append(key).Append("=").Append(HttpUtility.UrlEncode(value)).Append("&");
94 }
95 }
96 string content = query.ToString().Substring(0, query.Length - 1);
97
98 return content;
99 }
100 }
101}Python
Python
1import time
2import hmac
3import base64
4import urllib.parse
5
6now = str(round(time.time() * 1000))
7token = b'OAMf7CvniOGgoNijH9mFHEHSAf7****'
8# shareID详见前面文档中的说明
9share_id = '1827981ec07ac66f937a88c9e65f****'
10
11# 自定义参数,其中sugar_sign_开头,需要签名
12custome_params = {
13 "sugar_sign_no": 191866,
14 "name": 101
15}
16# 按照key排序
17sorted_custome_params = {i: custome_params[i] for i in sorted(custome_params.keys())}
18sign_params_str = '&'.join([f"{k}={v}" for k, v in sorted_custome_params.items() if k.startswith("sugar_sign_")])
19string_to_sign = '|'.join([share_id, now, sign_params_str])
20signature = base64.b64encode(hmac.digest(token, string_to_sign.encode('utf-8'), 'sha256')).decode('utf-8')
21signature = urllib.parse.quote(signature)
22# 生成最终链接
23url = f"https://sugar.baidubce.com/dashboard/{share_id}?_sugar_time={now}&_sugar_signature={signature}&" \
24 + urllib.parse.urlencode(sorted_custome_params)
25
26print(url)使用以上代码示例得到的 URL 为:https://sugar.baidubce.com/dashboard/1827981ec07ac66f937a88c9e65f****?_sugar_time=1612500688339&_sugar_signature=xM%2FNQv%2F5Je7o4j2046I0Gi%2BDmQegGn%2FEHXU%2BNskcEg****&sugar_sign_no=191866&name=101,在 URL 的有效期内,如果修改了 sugar_sign_no 字段的值,链接将无法访问,如果修改了 name 字段的值,链接仍然可以访问,因为 sugar_sign_no 符合签名参数规则,参与了签名计算,而 name 不符合签名参数规则,不会进行签名计算。
带签名参数的 URL 计算工具
Sugar BI 提供了单独的签名 URL 计算工具,您可以访问「签名 URL 计算工具」来生成带签名参数的 URL 示例。