一、逆向工程背景与目标

国税增值税发票查询平台作为企业财务管理的核心工具，其查询接口通常采用多重加密机制防止数据爬取。某企业财务系统需实现发票批量核验功能，但官方API调用存在配额限制且需企业资质审核，迫使开发团队转向网页端逆向分析。

目标明确为：解析查询接口的加密参数生成逻辑，实现自动化查询请求的构造。关键挑战在于平台采用的动态令牌（Token）机制与参数混淆策略，需通过JS逆向还原完整的请求链路。

二、前端加密机制分析

1. 请求链路追踪

使用Chrome DevTools的Network面板捕获查询请求，发现核心接口为/api/invoice/query，其请求头包含：

{
  "X-Token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
  "X-Timestamp": "1625097600000",
  "X-Sign": "a1b2c3d4e5f6..."
}

其中X-Token为JWT令牌，X-Sign为动态签名，X-Timestamp为时间戳。

2. 动态令牌生成逻辑

通过Sources面板定位到/static/js/auth.js，发现Token生成流程：

function generateToken() {
  const deviceId = localStorage.getItem('device_id') || registerDevice();
  const timestamp = Date.now();
  const payload = {
    deviceId,
    timestamp,
    nonce: Math.random().toString(36).substr(2, 8)
  };
  return JWT.sign(payload, SECRET_KEY, { algorithm: 'HS256' });
}

关键点在于SECRET_KEY的获取，通过全局搜索发现其存储在Webpack打包的模块中，需使用webpack-unpack工具解包。

3. 参数签名算法

签名生成逻辑隐藏在混淆代码中，通过格式化与断点调试还原：

function generateSign(params) {
  const sortedKeys = Object.keys(params).sort();
  const queryString = sortedKeys.map(k => `${k}=${params[k]}`).join('&');
  const hash = CryptoJS.HmacSHA256(queryString, APP_KEY);
  return hash.toString(CryptoJS.enc.Hex);
}

其中APP_KEY通过动态请求/config/api获取，需先完成基础认证。

三、逆向技术实现

1. 环境准备

• 浏览器：Chrome 90+（禁用缓存）
• 工具链：Fiddler抓包、AST Explorer代码解析、Node.js运行环境
• 依赖库：crypto-js（HMAC计算）、jsonwebtoken（JWT生成）

2. 关键代码实现

动态Token获取

const jwt = require('jsonwebtoken');
const SECRET_KEY = '解包获取的密钥';
function getAuthToken() {
  const deviceId = '模拟设备ID' || registerDevice();
  const payload = {
    deviceId,
    timestamp: Date.now(),
    nonce: generateNonce()
  };
  return jwt.sign(payload, SECRET_KEY, { algorithm: 'HS256' });
}

参数签名生成

const CryptoJS = require('crypto-js');
const APP_KEY = '动态获取的API密钥';
function calculateSign(params) {
  const sorted = Object.keys(params).sort().reduce((obj, key) => {
    obj[key] = params[key];
    return obj;
  }, {});
  const query = Object.entries(sorted)
    .map(([k, v]) => `${k}=${encodeURIComponent(v)}`)
    .join('&');
  return CryptoJS.HmacSHA256(query, APP_KEY)
    .toString(CryptoJS.enc.Hex);
}

3. 自动化查询实现

const axios = require('axios');
const instance = axios.create({
  baseURL: 'https://invoice.tax.gov.cn',
  headers: {
    'X-Token': getAuthToken(),
    'X-Timestamp': Date.now(),
    'Content-Type': 'application/json'
  }
});
async function queryInvoice(invoiceNo) {
  const params = {
    invoiceNo,
    queryTime: new Date().toISOString()
  };
  const sign = calculateSign(params);
  const response = await instance.post('/api/invoice/query', {
    ...params,
    X_Sign: sign
  });
  return response.data;
}

四、反爬机制应对

平台部署了多重防护策略，需针对性破解：

1. IP限制：采用代理池轮询，配合请求间隔随机化（500-2000ms）
2. 行为检测：模拟人类操作轨迹，添加鼠标移动事件模拟
3. 验证码触发：集成第三方OCR服务（如Tesseract.js）处理点选验证码

五、工程化实践建议

1. 代码封装：将逆向逻辑封装为Node.js模块，通过环境变量管理密钥
2. 异常处理：实现重试机制与降级策略，应对接口波动
3. 日志监控：记录请求成功率与失败原因，优化逆向参数
4. 合规性审查：确保数据使用符合《网络安全法》要求

六、技术演进方向

1. AST逆向优化：使用Babel解析混淆代码，自动化提取加密逻辑
2. 浏览器自动化：通过Puppeteer模拟完整浏览器环境，降低被检测风险
3. 量子加密应对：研究后量子密码算法对现有逆向方案的影响

通过系统化的JS逆向工程，开发团队成功实现发票查询自动化，查询效率提升300%，且完全规避官方API调用限制。该案例证明，在合规前提下，技术逆向可成为解决企业痛点的有效手段，但需持续跟进平台安全策略更新。