当前位置：首页 > news >正文

请求签名算法破解：从Chrome DevTools到Python还原的完整流程

news 2026/5/27 18:22:19

前言

在网络爬虫、接口逆向、自动化接口调用场景中，绝大多数网站都会对请求参数、请求体、Header进行加密签名校验，直接明文发包会直接返回签名错误、权限不足、拒绝访问等结果。想要稳定调用目标接口，核心就是逆向破解接口签名算法。

本文从零起步，完整讲解从浏览器抓包定位签名字段、调试 JS 加密逻辑、梳理签名生成规则，最终用 Python1:1 还原签名算法、实现无加密正常发包的全流程，全程实战无废话，适合逆向新手快速上手。

一、前期准备工作

1. 必备工具

Chrome 浏览器（自带开发者工具，逆向首选）
抓包辅助：Fiddler/Charles（可选，多层协议抓包）
JS 调试工具：Chrome Sources 断点调试
运行环境：Python3.x、requests 库、pycryptodome 加密库

2. 核心认知

常见接口签名字段：sign、signature、token、appkey、timestamp、nonce、sig签名加密方式：MD5、SHA1、SHA256、HMAC、AES、RSA、拼接加盐、时间戳混排等签名组成要素：固定密钥、时间戳、随机数、请求参数、请求地址、请求方式、用户令牌

二、Chrome DevTools 抓包定位签名位置

1. 开启网络抓包

打开目标网页，按下F12调出开发者工具，切换至 **Network（网络）** 面板
勾选Preserve log（保留日志），防止页面刷新清空请求记录
勾选Disable cache禁用缓存，确保抓取真实实时请求
手动触发网页接口请求（点击按钮、下拉刷新、提交表单）

2. 筛选目标接口

在请求列表筛选XHR/Fetch类型接口，网页异步请求几乎都在此类
找到业务核心请求，依次查看：
- Headers：请求头内是否携带sign、signature加密字段
- Payload/FormData：请求体、URL 参数内是否存在签名字段
- Response：确认返回加密规则提示、密钥、盐值线索

3. 确定动态生成的签名字段

重点区分固定值字段和动态签名字段：

刷新页面多次请求，数值不变 = 固定参数
每次请求数值都变化 = 动态生成签名，即为本次逆向核心目标

三、定位签名生成 JS 源码

1. 调用栈快速溯源

选中目标请求 → 右键Copy -> Copy as fetch，拿到浏览器原生请求代码
在 Network 面板点击请求右侧Initiator（调用堆栈）
堆栈从上至下追溯，找到发起请求前处理参数、拼接加密的 JS 文件与行号

2. 全局搜索签名关键字

切换至Sources源码面板
使用全局搜索快捷键Ctrl+Shift+F
搜索关键字：sign=、signature、md5(、sha256、getSign、createSig
精准定位签名生成函数，过滤混淆 JS、压缩 JS 代码

3. 格式化混淆 JS 代码

网页前端 JS 大多经过压缩混淆，单行无换行无法阅读：

选中混淆 JS 代码，右键Format code自动格式化
去除无用变量、混淆死代码，梳理清晰函数执行逻辑

四、断点调试，还原签名生成逻辑

1. 精准下断点

找到签名生成函数内部核心代码行，点击行号添加蓝色断点
重新触发接口请求，程序自动卡在断点位置
进入单步调试：F10逐行执行、F11进入子函数

2. 逐行拆解签名规则

调试过程重点记录 5 大核心要素：

参与加密的参数：哪些 URL 参数、请求体参数参与拼接
参数排序规则：升序 / 降序、是否剔除空值、是否剔除固定字段
拼接格式：参数名 = 值 & 拼接、直接拼接、指定分隔符拼接
加盐规则：前缀加盐、后缀加盐、中间插入密钥、时间戳加盐
加密算法：MD5、SHA 系列、HMAC、大小写转换、URL 编码

3. 提取固定密钥与盐值

调试中直接打印全局变量、常量值，提取：

固定秘钥 key
固定盐值 salt
固定 appid、appsecret
时间戳单位（秒 / 毫秒）
随机数生成规则

4. 控制台实时校验

调试过程可在 Console 控制台手动调用签名函数：

// 直接执行前端原生签名函数，传入参数验证结果 getSign(参数1,参数2,时间戳)

快速核对签名结果，确认逻辑无偏差。

五、剔除前端环境差异，规避逆向坑点

时间戳偏差：前端用毫秒级时间戳，Python 默认秒级，统一时间单位
字符编码差异：前端 UTF-8、URL 编码、特殊字符转义严格对齐
参数空值处理：前端自动过滤空参数，Python 拼接时同步过滤
大小写统一：加密后大写 / 小写结果必须完全一致
随机数规则：前端自定义随机数范围、长度，Python 复刻同款随机规则
JS 内置函数差异：JS 的 toString、parseInt、字符串截取逻辑，Python 严格等价实现

六、Python 复刻签名算法完整实战

1. 安装依赖库

bash

运行

pip install requests pycryptodome

2. 通用签名复刻模板（MD5 加盐经典案例）

前端 JS 简化签名逻辑

// 前端签名规则 function getSign(params){ let key = "123456abcdef"; //固定盐值 let timestamp = Date.now();//毫秒时间戳 //参数按键名升序排序 let sortArr = Object.keys(params).sort(); let str = ''; for(let k of sortArr){ str += k + params[k]; } //拼接盐值+时间戳 let signStr = str + key + timestamp; //MD5加密转小写 return md5(signStr).toLowerCase(); }

Python1:1 完整还原代码

python

运行

import time import hashlib import requests # 固定盐值 SALT_KEY = "123456abcdef" def get_request_sign(params: dict) -> tuple[str, int]: # 1. 生成毫秒级时间戳 timestamp = int(time.time() * 1000) # 2. 参数按键名升序排序 sorted_items = sorted(params.items(), key=lambda x: x[0]) # 3. 拼接参数字符串 sign_str = "".join([f"{k}{v}" for k, v in sorted_items]) # 4. 拼接盐值+时间戳 sign_str += SALT_KEY + str(timestamp) # 5. MD5加密转小写 md5_obj = hashlib.md5(sign_str.encode("utf-8")) sign = md5_obj.hexdigest().lower() return sign, timestamp # 测试调用 if __name__ == "__main__": # 请求业务参数 req_params = { "page": 1, "size": 10, "uid": "10086" } # 生成签名与时间戳 sign, ts = get_request_sign(req_params) # 拼接完整请求参数 req_params["sign"] = sign req_params["timestamp"] = ts # 发起带签名正式请求 headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36" } url = "目标接口地址" res = requests.get(url, params=req_params, headers=headers) print("接口返回数据：", res.json())