仅供参考
首先 将所有参数分为两大类:
- 系统级参数
系统级参数指的是不牵扯业务层的参数,以 get 方式拼接在 url 后面
eg: 类似于 service 路径、method 接口、version 接口版本、timestamp 时间戳、format 格式 一般移动端为json、appkey 唯一标示、sign 根据签名算法得到的签名的结果 等等 - 应用级参数
和业务相关的参数,必须以 post 方式提交
应用级参数 必须拼接成标准的 json 格式
eg:当用户查看订单详情,必须将类似于orderid userid token等一系列的巴拉巴拉的用来向 server 索取目标订单信息 的参数 传给 server
API签名
app调用接口的时候,必须要 使用固定的算法 进行签名
服务端在收到请求的时候 会按照 格式 对请求参数进行验证是否合法
思路参考如下:
前提:
- 服务端提供
appSecret,app 用这个 appSecret (即key) 对参数加密,可以写死在客户端 - 我们举例以
appKeymethodservicetimestampformatversionsign这几个参数作为系统参数
步骤:
- 对除
sign之外的所有系统级参数进行 排序
此处参数的排序 怎么排序都可以,但是要和服务端保持一致
eg:将appKeymethodservicetimestampformatversion排序为appKeyservicemethodtimestampformatversion - 依据排序后的顺序,按照
参数名+参数值(不包含 +)重新组装,并且在最后拼接上应用级参数重新整理 应用级参数要转换为标准的json格式
eg:整理后的参数类似于这样
appKey***service***method***timestamp***format***version***yyyy
其中yyyy为应用级参数,且应用级参数要转换为标准的json格式
如:{'userid':'1','orderid':'201801262022060089'} - 使用 appSecret 作为密钥,对 步骤2 中拼接好的字符串 进行
hmac-md5加密
并且将得到结果 转换为 大写 并作为 系统级参数sign的值
得到的结果类似于:C5E8ADDC5C8F5AA6BF70ED05258F47AE - 拼接 http 请求
将 步骤3 的到的加密结果 作为sign的值
调用 API 时
将系统级参数转换成UTF-8编码以GET方式提交
将应用级参数以POST方式提交
eg:
$opts = array (
'http' => array(
'method' => 'POST',
'header' => "Content-type:application/json;charset=utf-8" . "Content-Length:" . strlen($appParams) . "\r\n",
// 应用级参数
'content' => $appParams
)
);
$context = stream_context_create($opts);
$url = 'http://www.ffdemo.com/index.php?appKey=***&service=***&method=***×tamp=***&format=***&version=***&sign=***‘;
$respdata = file_get_contents($url, false, $context);
- 服务端收到请求后,取出所有参数,并且依据固定的格式重新拼接参数,然后进行
hmac-md5签名,得到签名后的结果 - 将服务端签名得到的字符串 与 app 端签名得到的字符串(即 传递的参数 sign 的值)进行比较,如果相同说明 传输过程安全 继续之后的步骤,如果不一致 则返回非法请求的状态 给 客户端
至此,整个 验签过程 结束
只需要按照规范拼装一个正确的请求 url,通过 http 请求 server,server 验证通过 app
即可获取到所需的数据
整个思路关键的地方为:签名算法 hmac-md5() 保证参数在传递的过程中不被篡改 ,有兴趣的同学请自行 google
最后 不早了 去看看呱娃子回来没~
2018.05.25
使用这种验签方式的核心在于客户端存放的appSecret不能泄露
不定期更新 不合适的地方 还请指点~ 感激不尽
