一 签名设计
1.1签名生成的步骤如下:
-
参数名ASCII码从小到大排序(字典序)
- 案例
- buid=12&accoutid=0 —> accoutid=0&buid=12
- 案例
-
请求参数使用URL键值对的格式(key1=value1&key2=value2…)拼接成字符串st1
- 案例
- st1=“accoutid=0&buid=12”;
- 案例
-
拼接API密钥st2
- 案例
- st2=st1+"&key=“商户平台的密钥”
- 案例
-
获取签名
- 案例
- psign=MD5(st2)=“xxxx”
- 案例
-
最终发送的数据
- 案例
- accoutid=0&buid=12&psign=xxxx
- 案例
1.2最终发送的数据
key1:value1
key2:value2
time:请求的时间戳(毫秒)
psign:xxxx
1.3注意点:
- 如果参数的值为空不参与签名
- 参数名ASCII码从小到大排序
- 参数名区分大小写
- 用户的请求参数必须带上时间戳,参数名称time
1.4测试工具
在线md5计算:https://oktools.net/hash
1.5操作截图
- 请求参数:time=1569728170000&userId=1111
- 参数名ASCII码从小到大排序,拼接API密钥st2,获取签名
- 测试的商户平台的密钥:xxxxoooo
- 测试的商户平台的密钥:xxxxoooo
2 签名加密设计
- 使用公钥对psign加密
- 测试公钥:MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAJWRN/d5SnaLyniXA9XObOYS5wDzfuR1Mw/o010mrMOI2mauWlYHrQyTjffJuWy5K+1YLvdq+6SoW48PnlHpPmECAwEAAQ==
2.1操作截图
3 最终发送的数据
time=1569728170000&userId=1111&psign=F2UyJKhmWS51M0tF5oxetSGVQAZGZ8MeZ3TCp+2LR1kvKW1QBbUe/eBXSb2nYobjXJOROGOGEpk1d0qiMdlFkg==
二 数据加密(涉及加签)设计
客户端
- 对所有的参数加签psign,具体看签名设计
- 数据防篡改
- 使用公钥对psign加密(非对称加密)
- 防止恶意用户破解,获取到签名的key(商户平台的密钥)
服务端
- 获取psign的hashcode,对比redis服务器中是否存在,存在就不执行,过期时间60分钟
- 防止恶意用户,截取到我们的网络请求,做重复提交(间隔时间重复提交)
- hashcode: redis的处理速度最快的方式(redis key 设计)
- 使用私钥对psign解密,解密失败不执行
- 获取真正的签名real_psign
- 使用psign验证防篡改,篡改不执行
- 使用请求参数生成签名(按照签名规则)
- 对比real_psign签名,看2个签名是否相等
- 相等:数据没有篡改
- 不相等:数据别篡改了
- 解析time和服务器当前服务器时间,间隔10分钟以上的不执行
- 第二次防止恶意用户,截取到我们的网络请求,做重复提交(间隔60分钟以上重复提交),因为redis保存的缓存,过期时间是60分钟。如果没有做这个处理,恶意用户可以截取网络请求, 间隔60分钟以后做重复提交。
三具体代码实现
https://blog.csdn.net/zhou920786312/article/details/101691311 私密,不公开