這次給大家分享一個(gè)關(guān)于《x團(tuán)參數(shù)加密和簽名校驗(yàn)》解決方案，主要涉及的內(nèi)容是 MD5 加密算法和 JNI 基礎(chǔ)。如果我們只是做 Android 應(yīng)用開發(fā)，應(yīng)當(dāng)還是先把 Android 的基礎(chǔ)知識(shí)玩溜一些，我并不想帶壞你，打個(gè)比方，比如我們都用過 String、StringBuilder、StringBuffer 這三個(gè)，有時(shí)真正的開發(fā)過程中我們都是看心情的，想用哪個(gè)就用哪個(gè)。所以先把 Java 和 Android 基礎(chǔ)打勞才是關(guān)鍵，這也是為什么有些企業(yè)往往更加關(guān)注基礎(chǔ)知識(shí)和你的狀態(tài)，因?yàn)榛镜某绦蛟O(shè)計(jì)理論和算法是不會(huì)變的，設(shè)計(jì)模式和系統(tǒng)架構(gòu)我相信哪個(gè)項(xiàng)目都會(huì)有的。現(xiàn)在我們需要準(zhǔn)備一些常用工具：AndroidStudio 2.3 以上，Windows + VS 2013 以上，一臺(tái)云主機(jī)（Linux環(huán)境）。

當(dāng)然很多小型公司接口參數(shù)是不需要加密傳輸?shù)?#xff0c;天天加班修修改改哪有那閑工夫，都是裸奔狀態(tài)，因此有時(shí)容易受到一些攻擊，一般情況下別人也沒那閑工夫。在稍大型一些公司這一塊比較成熟，基本不用我們自己處理，只要會(huì)調(diào)用 Java 層已經(jīng)封裝好的方法就行。接下來(lái)舉個(gè)例子：

拿發(fā)送短信驗(yàn)證碼這個(gè)接口為例，如果是裸奔的狀態(tài)下，那就可以去攻擊這個(gè)接口，寫個(gè)腳本不斷的調(diào)接口發(fā)送驗(yàn)證碼。一旦有人攻擊接口會(huì)帶來(lái)一些不必要的損失，加密參數(shù)鏈接就是為了防止他人惡意攻擊。

1.MD5 加密算法步驟

---

MD5 加密用 Java 代碼實(shí)現(xiàn)起來(lái)很簡(jiǎn)單的，但是用 C++ 來(lái)寫還是稍微有些麻煩，有一種取巧的方式就是用 C 調(diào)用 Java 代碼，但這就意味著 iOS 不能用我們寫好的這套去編譯生成 .mm，所以一般情況下還是直接寫純 C++ 的 MD5 算法加密比較合適，加密的步驟如下：

第一步、填充
如果輸入信息的長(zhǎng)度(bit)對(duì)512求余的結(jié)果不等于448，就需要填充使得對(duì)512求余的結(jié)果等于448。填充的方法是填充一個(gè)1和n個(gè)0。填充完后，信息的長(zhǎng)度就為N*512+448(bit)；

第二步、記錄信息長(zhǎng)度
用64位來(lái)存儲(chǔ)填充前信息長(zhǎng)度。這64位加在第一步結(jié)果的后面，這樣信息長(zhǎng)度就變?yōu)镹*512+448+64=(N+1)*512位。

第三步、裝入標(biāo)準(zhǔn)的幻數(shù)（四個(gè)整數(shù)）
標(biāo)準(zhǔn)的幻數(shù)（物理順序）是（A=(01234567)16，B=(89ABCDEF)16，C=(FEDCBA98)16，D=(76543210)16）。如果在程序中定義應(yīng)該是（A=0X67452301L，B=0XEFCDAB89L，C=0X98BADCFEL，D=0X10325476L）。

void MD5Init (MD5_CTX *context) {context->count[0] = context->count[1] = 0;/* Load magic initialization constants. */context->state[0] = 0x67452301;context->state[1] = 0xefcdab89;context->state[2] = 0x98badcfe;context->state[3] = 0x10325476; }

第四步、四輪循環(huán)運(yùn)算
循環(huán)的次數(shù)是分組的個(gè)數(shù)（N+1）
1）將每一512字節(jié)細(xì)分成16個(gè)小組，每個(gè)小組64位（8個(gè)字節(jié)）
2）先認(rèn)識(shí)四個(gè)線性函數(shù)(&是與,|是或,~是非,^是異或)

#define F(x, y, z) (((x) & (y)) | ((~x) & (z))) #define G(x, y, z) (((x) & (z)) | ((y) & (~z))) #define H(x, y, z) ((x) ^ (y) ^ (z)) #define I(x, y, z) ((y) ^ ((x) | (~z)))

3）設(shè)Mj表示消息的第j個(gè)子分組（從0到15），<<

#define FF(a, b, c, d, x, s, ac) { \(a) += F ((b), (c), (d)) + (x) + (UINT4)(ac); \(a) = ROTATE_LEFT ((a), (s)); \(a) += (b); \} #define GG(a, b, c, d, x, s, ac) { \(a) += G ((b), (c), (d)) + (x) + (UINT4)(ac); \(a) = ROTATE_LEFT ((a), (s)); \(a) += (b); \} #define HH(a, b, c, d, x, s, ac) { \(a) += H ((b), (c), (d)) + (x) + (UINT4)(ac); \(a) = ROTATE_LEFT ((a), (s)); \(a) += (b); \} #define II(a, b, c, d, x, s, ac) { \(a) += I ((b), (c), (d)) + (x) + (UINT4)(ac); \(a) = ROTATE_LEFT ((a), (s)); \(a) += (b); \}

4）四輪運(yùn)算，每輪循環(huán)后，將A，B，C，D分別加上a，b，c，d，然后進(jìn)入下一循環(huán)。

static void MD5Transform (UINT4 state[4], unsigned char block[64]) {UINT4 a = state[0], b = state[1], c = state[2], d = state[3], x[16];Decode (x, block, 64);/* Round 1 */FF (a, b, c, d, x[ 0], S11, 0xd76aa478); /* 1 */FF (d, a, b, c, x[ 1], S12, 0xe8c7b756); /* 2 */FF (c, d, a, b, x[ 2], S13, 0x242070db); /* 3 */FF (b, c, d, a, x[ 3], S14, 0xc1bdceee); /* 4 */FF (a, b, c, d, x[ 4], S11, 0xf57c0faf); /* 5 */FF (d, a, b, c, x[ 5], S12, 0x4787c62a); /* 6 */FF (c, d, a, b, x[ 6], S13, 0xa8304613); /* 7 */FF (b, c, d, a, x[ 7], S14, 0xfd469501); /* 8 */FF (a, b, c, d, x[ 8], S11, 0x698098d8); /* 9 */FF (d, a, b, c, x[ 9], S12, 0x8b44f7af); /* 10 */FF (c, d, a, b, x[10], S13, 0xffff5bb1); /* 11 */FF (b, c, d, a, x[11], S14, 0x895cd7be); /* 12 */FF (a, b, c, d, x[12], S11, 0x6b901122); /* 13 */FF (d, a, b, c, x[13], S12, 0xfd987193); /* 14 */FF (c, d, a, b, x[14], S13, 0xa679438e); /* 15 */FF (b, c, d, a, x[15], S14, 0x49b40821); /* 16 *//* Round 2 */GG (a, b, c, d, x[ 1], S21, 0xf61e2562); /* 17 */GG (d, a, b, c, x[ 6], S22, 0xc040b340); /* 18 */GG (c, d, a, b, x[11], S23, 0x265e5a51); /* 19 */GG (b, c, d, a, x[ 0], S24, 0xe9b6c7aa); /* 20 */GG (a, b, c, d, x[ 5], S21, 0xd62f105d); /* 21 */GG (d, a, b, c, x[10], S22, 0x2441453); /* 22 */GG (c, d, a, b, x[15], S23, 0xd8a1e681); /* 23 */GG (b, c, d, a, x[ 4], S24, 0xe7d3fbc8); /* 24 */GG (a, b, c, d, x[ 9], S21, 0x21e1cde6); /* 25 */GG (d, a, b, c, x[14], S22, 0xc33707d6); /* 26 */GG (c, d, a, b, x[ 3], S23, 0xf4d50d87); /* 27 */GG (b, c, d, a, x[ 8], S24, 0x455a14ed); /* 28 */GG (a, b, c, d, x[13], S21, 0xa9e3e905); /* 29 */GG (d, a, b, c, x[ 2], S22, 0xfcefa3f8); /* 30 */GG (c, d, a, b, x[ 7], S23, 0x676f02d9); /* 31 */GG (b, c, d, a, x[12], S24, 0x8d2a4c8a); /* 32 *//* Round 3 */HH (a, b, c, d, x[ 5], S31, 0xfffa3942); /* 33 */HH (d, a, b, c, x[ 8], S32, 0x8771f681); /* 34 */HH (c, d, a, b, x[11], S33, 0x6d9d6122); /* 35 */HH (b, c, d, a, x[14], S34, 0xfde5380c); /* 36 */HH (a, b, c, d, x[ 1], S31, 0xa4beea44); /* 37 */HH (d, a, b, c, x[ 4], S32, 0x4bdecfa9); /* 38 */HH (c, d, a, b, x[ 7], S33, 0xf6bb4b60); /* 39 */HH (b, c, d, a, x[10], S34, 0xbebfbc70); /* 40 */HH (a, b, c, d, x[13], S31, 0x289b7ec6); /* 41 */HH (d, a, b, c, x[ 0], S32, 0xeaa127fa); /* 42 */HH (c, d, a, b, x[ 3], S33, 0xd4ef3085); /* 43 */HH (b, c, d, a, x[ 6], S34, 0x4881d05); /* 44 */HH (a, b, c, d, x[ 9], S31, 0xd9d4d039); /* 45 */HH (d, a, b, c, x[12], S32, 0xe6db99e5); /* 46 */HH (c, d, a, b, x[15], S33, 0x1fa27cf8); /* 47 */HH (b, c, d, a, x[ 2], S34, 0xc4ac5665); /* 48 *//* Round 4 */II (a, b, c, d, x[ 0], S41, 0xf4292244); /* 49 */II (d, a, b, c, x[ 7], S42, 0x432aff97); /* 50 */II (c, d, a, b, x[14], S43, 0xab9423a7); /* 51 */II (b, c, d, a, x[ 5], S44, 0xfc93a039); /* 52 */II (a, b, c, d, x[12], S41, 0x655b59c3); /* 53 */II (d, a, b, c, x[ 3], S42, 0x8f0ccc92); /* 54 */II (c, d, a, b, x[10], S43, 0xffeff47d); /* 55 */II (b, c, d, a, x[ 1], S44, 0x85845dd1); /* 56 */II (a, b, c, d, x[ 8], S41, 0x6fa87e4f); /* 57 */II (d, a, b, c, x[15], S42, 0xfe2ce6e0); /* 58 */II (c, d, a, b, x[ 6], S43, 0xa3014314); /* 59 */II (b, c, d, a, x[13], S44, 0x4e0811a1); /* 60 */II (a, b, c, d, x[ 4], S41, 0xf7537e82); /* 61 */II (d, a, b, c, x[11], S42, 0xbd3af235); /* 62 */II (c, d, a, b, x[ 2], S43, 0x2ad7d2bb); /* 63 */II (b, c, d, a, x[ 9], S44, 0xeb86d391); /* 64 */state[0] += a;state[1] += b;state[2] += c;state[3] += d;/* Zeroize sensitive information.*/MD5_memset ((POINTER)x, 0, sizeof (x)); }

2.編寫加密 Native 方法

JNIEXPORT jstring JNICALL Java_com_darren_ndk_SignatureUtil_getSignature(JNIEnv *env, jclass type, jstring value_) {// 簽名授權(quán)驗(yàn)證未通過if (is_oauth == 0) {return env->NewStringUTF("error signature");}const char *s = env->GetStringUTFChars(value_, 0);// 加上MD5_KEY，然后去掉前面四位char *signature_str = str_append(s, MD5_KEY);signature_str = sub_string(signature_str, 4);// 調(diào)用 MD5 加密方法MD5_CTX context = {0};MD5Init(&context);MD5Update(&context, (unsigned char *) signature_str, strlen(s));unsigned char dest[16] = {0};MD5Final(dest, &context);int i = 0;char szMd5[32] = {0};for (i = 0; i < 16; i++) {// 最終生成 32 位 ，不足前面補(bǔ)一位 0sprintf(szMd5, "%s%02x", szMd5, dest[i]);}// 釋放資源env->ReleaseStringUTFChars(value_, s);return env->NewStringUTF(szMd5); }

3.簽名校驗(yàn)授權(quán)

這樣生成 apk 后還是會(huì)出現(xiàn)一些問題，雖然加密的規(guī)則已經(jīng)在 .so 庫(kù)可能是很難反編譯。但還有一種方式可以繞過去，我可以不用反編譯 so，但我們可以解壓你的 apk 把 .so 庫(kù)拷貝出來(lái)，自己寫個(gè)工程只要包名和方法名匹配上照樣可以用。所以我們必須還要對(duì)簽名做校驗(yàn)，也就是只允許指定的應(yīng)用可以使用，就好比微信支付，必須要在官方管理后臺(tái)申請(qǐng)和配置你的簽名和包名，否則我們就不能使用，簽名和包名必須得要一致。

/** PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES); Signature[] signatures = packageInfo.signatures; return signatures[0].toCharsString(); */ JNIEXPORT void JNICALL Java_com_darren_ndk_SignatureUtil_oauthVerify(JNIEnv *env, jclass type, jobject context) {// 怎么驗(yàn)證簽名？// 獲取 PackageManagerjclass j_clz = env->GetObjectClass(context);jmethodID j_mid = env->GetMethodID(j_clz, "getPackageManager","()Landroid/content/pm/PackageManager;");jobject pm = env->CallObjectMethod(context, j_mid);// 獲取 PackageInfo，getPackageNamej_mid = env->GetMethodID(j_clz, "getPackageName", "()Ljava/lang/String;");jstring j_pack_name = (jstring) env->CallObjectMethod(context, j_mid);const char *c_pack_name = env->GetStringUTFChars(j_pack_name, NULL);// 先比較包名是否相等，包名不想等返回if (strcmp(c_pack_name, PACKAGE_NAME) != 0) {return;}// 再去比較簽名是否一致j_clz = env->GetObjectClass(pm);j_mid = env->GetMethodID(j_clz, "getPackageInfo","(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;");jobject j_pack_info = env->CallObjectMethod(pm, j_mid, j_pack_name, 64);// 獲取 Signature[],獲取 packageInfo 的 signatures 屬性j_clz = env->GetObjectClass(j_pack_info);jfieldID j_fid = env->GetFieldID(j_clz, "signatures", "[Landroid/content/pm/Signature;");jobjectArray signatures_array = (jobjectArray) env->GetObjectField(j_pack_info, j_fid);// 獲取第0個(gè)位置 signatures[0]jobject signature_obj = env->GetObjectArrayElement(signatures_array, 0);// 然后調(diào)用 toCharsString 方法j_clz = env->GetObjectClass(signature_obj);j_mid = env->GetMethodID(j_clz, "toCharsString", "()Ljava/la2ng/String;");jstring j_signature = (jstring) env->CallObjectMethod(signature_obj, j_mid);const char *c_signature = env->GetStringUTFChars(j_signature, NULL);// 校驗(yàn)簽名秘鑰if (strcmp(APP_SIGNATURE, c_signature) == 0) {// 認(rèn)證成功is_oauth = 1;} else {// 認(rèn)證失敗is_oauth = 0;} }

這樣就安全了嗎？只能說(shuō)稍微好了一些。我們還需知道別人怎么做逆向分析的。可能還需要在應(yīng)用啟動(dòng)時(shí)修改 XposedBridge，檢測(cè)是否有人用 xposed 搗蛋，或者自己開啟 native 進(jìn)程去循環(huán)檢測(cè) tracepid 的值等等。新的一年會(huì)分享一些 C 和 C++ 的提高和進(jìn)階，數(shù)據(jù)結(jié)構(gòu)和算法基礎(chǔ)，基礎(chǔ)是需要打牢固的，就好比在 Android 開發(fā)我們只知道啟動(dòng) Activity 調(diào)用 startActivity 卻不知其內(nèi)部是怎么跨進(jìn)程通訊的，只知設(shè)置布局是 setContentView 卻不知界面是怎么渲染繪制的。這里有一個(gè) C 的基礎(chǔ)題，大家可以思考一下：

/* * 打印數(shù)組 */ void printArrary(int arr[],int length){for (int i = 0; i < length ; i++){printf("%d\n",arr[i]);} }void main(){int arr[] = { 1, 2, 3 ,4};printArrary(arr,4);// 暫停程序getchar(); }

上面是一個(gè)很簡(jiǎn)單的實(shí)例，就是遍歷打印數(shù)組，但我們必須要傳一個(gè)數(shù)組長(zhǎng)度，可不可以直接在打印方法里面去獲取數(shù)組的長(zhǎng)度呢？如果行是為什么？如果不行又是為什么？

視頻講解地址：會(huì)盡快

總結(jié)

以上是生活随笔為你收集整理的NDK开发前奏 - x团参数加密和签名校验的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。