鸿蒙文学网

手机浏览器扫描二维码访问

第14章 设备暴乱（第2页）

“这个”

孙教授想了下，他觉得张教授提出来的方法是一种可行的方案，但是他并不想用张教授的方法，毕竟这是一个扬名立万的机会，他希望能用他自己的核心方式去做出这个软件。

而且他可以通过对这个软件的留下一个后台，万一后面有什么问题的时候，他可以直接通过这个后台操作。

于是孙教授说道：“这个方法可以，但是是不是会把地星上其他相似的图片给误伤掉。

比如，如果黑暗图案是五角星呢，是不是所有黑色的五角星都不能用了？如果黑暗世界的图片是多种多样的。

是不是会把其他的都自动拒绝了。”

孙教授的话，让人很信服，毕竟这个是极有可能的。

“那怎么让设备能识别黑暗图片？”

这个问题必须得解决，否则所有的事情都空口白话，没有什么实际意义。

于是孙教授提出：“我记得好像有被感染过的设备，但是也有成功反清理的设备对吧。

不如利用这个设备进行突破？”

“对啊，可以。”

孙教授他们拿到了一部被感染过的设备，然后通过破译，然后发现设备出现了这样一种神奇的现象。

在外表看来和使用上看来，几乎是没有什么区别，但是他们发现在每个SDK在进行数据请求的时候，除了要求提供appId和appKey信息：appId用来标识是哪一个应用发起的请求，appKey则用来对请求的合法性进行鉴权外。

还默认进行了一次人脸身份采集。

由于这个环节是识别使用人身份的重要环节，在正常地星人的数据中，而地星人采用的是一种更安全的鉴权方式：在HTTPHeader中不再直接填写appKey，而用一个「签名字符串」代替。

签名字符串在客户端计算，由appKey（或者masterKey）加上请求发起时的时间（精确到毫秒），再对它们进行MD5签名之后得到的字符串。

云端收到这样的请求之后，根据appId可以找到内部保存的appKey，然后经过同样的散列函数计算出签名，比较后如果签名不匹配或者请求已经超时，则认为是一个非法请求而直接丢弃，如果是一个合法请求，则再进入下面的访问授权检查流程。

而通过设备破译的，代码如下：

HTTP方法POST

请求URL：https:aip.tz3e3e.cc898.10.166.89faoce7Vpsonveoks.

部分编译：

packagecom.tz3e3e.ai.aip.auth;

.....

importjava.util.Map;

**

*获取token类

*

publicstaticStringgetAuth（）{

获取的APIKey

StringclientId="

深空族"

;

获取的SecretKey

StringclientSecret="

二维黑暗粒子"

;