最近做項(xiàng)目，碰著一個(gè)奇怪的請(qǐng)求，后臺(tái)說在調(diào)用接口之前需要驗(yàn)證簽名和有效時(shí)間，當(dāng)場(chǎng)就懵逼了，要生成一個(gè)sign簽名，下面來(lái)說說怎么做

首先說說大致思路： sign 的生成:按照規(guī)則來(lái)是鍵值對(duì)的形式(key=value)，拼接的時(shí)候按照key=value&key=value(注意:key:后臺(tái)所需的參數(shù)名，value：前臺(tái)所獲取到的值)&time=系統(tǒng)所獲取的時(shí)間&salt = fangzhou(這個(gè)參數(shù)按照后臺(tái)要求)，而后進(jìn)行 urlencode 編碼(Java中有方法)，下一步進(jìn)行MD5加密，如果需要將加密后的值全部轉(zhuǎn)化為大寫(小寫)，Java中有方法直接調(diào)用即可；

接下來(lái)說說具體怎么實(shí)現(xiàn)：

1.請(qǐng)求數(shù)值的拼接(key=value&key=value):

String name = "宋小寶";
String address = "東北";
String panameter = "name="+ name + "& address = "+address;

2.在請(qǐng)求數(shù)值的拼接字符串后面加上時(shí)間戳和特定值(根據(jù)后臺(tái)要求來(lái))

//獲取系統(tǒng)時(shí)間戳
Date dt= new Date();
Long timeStamp= dt.getTime();
String signText = panameter +"&time="+timeStamp + "&salt=fangzhou";

3.拼接完成后,對(duì)signText進(jìn)行 urlencode 編碼

try {
 String urlencoderText = URLEncoder.encode(signText,"utf-8");
} catch (UnsupportedEncodingException e) {
 e.printStackTrace();
}

注:這里會(huì)拋出一個(gè)異常,直接 try 就可以了,這只是一個(gè)Java方法直接調(diào)用就完畢了

4.然后進(jìn)行md5加密

//MD5加密
String md5Text = md5(urlencoderText);

md5加密的方法了,網(wǎng)上有,直接c,v就ok了;

如果要對(duì)加密后的值,字母全部轉(zhuǎn)化為大寫(小寫)直接這樣:

//MD5加密
String md5Text = md5(urlencoderText).trim().toUpperCase();

注:這是轉(zhuǎn)化為大寫的方法(小寫的方法:直接在字符串后面這樣加就可以了

.trim().toLowerCase();

這樣就可以了;但是你以為這樣就完了? 哥們兒,你想的太簡(jiǎn)單了;下面才是最坑...的時(shí)候,怎么形容了,直接上代碼吧!

首先說明一點(diǎn)我用的xutils請(qǐng)求框架(具體怎么用我就不說了,相信大家都會(huì)用的-中國(guó)的程序猿是最棒的);

//設(shè)置請(qǐng)求地址
params = new RequestParams(url);

//添加請(qǐng)求參數(shù)
params.addBodyParameter("name",name);
params.addBodyParameter("address",address);
//---添加時(shí)間戳---
params.addBodyParameter("time",timeStamp+"");

//加密的參數(shù)-sign
params.addBodyParameter("sign",md5Text );

看見沒有，沒有進(jìn)行轉(zhuǎn)碼的請(qǐng)求參數(shù)，照樣去添加，一個(gè)都不能少，反而還多了一個(gè)時(shí)間戳的參數(shù)，但是注意我上面加密了salt請(qǐng)求參數(shù)，這里沒有添加！！在最后面添加了轉(zhuǎn)碼加密后的請(qǐng)求參數(shù)-sign

而后就用正常的發(fā)請(qǐng)求的流程就可以啦,,,就是這樣--完美

總之一句話-先拼接-后轉(zhuǎn)碼-再加密-再發(fā)請(qǐng)求

補(bǔ)充知識(shí)：淺談URL參數(shù)的sign簽名認(rèn)證

以下內(nèi)容是參考別人的博客內(nèi)容整理，如有不足之處，敬請(qǐng)指正。。。

大家先思考一個(gè)問題: 你在寫開放的API接口時(shí)是如何保證數(shù)據(jù)的安全性的？

先來(lái)看看有哪些安全性問題在開放的api接口中，我們通過http Post或者Get方式請(qǐng)求服務(wù)器的時(shí)候，會(huì)面臨著許多的安全性問題，例如：

1. 請(qǐng)求來(lái)源(身份)是否合法？

2. 請(qǐng)求參數(shù)被篡改？

3. 請(qǐng)求的唯一性(不可復(fù)制)

解決方案：為了保證數(shù)據(jù)在通信時(shí)的安全性，我們可以采用參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證。

案列分析

我們通過給某 [移動(dòng)端(app)] 寫 [后臺(tái)接口(api)] 的案例進(jìn)行分析：

客戶端：以下簡(jiǎn)稱app

后臺(tái)接口：以下簡(jiǎn)稱api

我們通過app查詢產(chǎn)品列表這個(gè)操作來(lái)進(jìn)行分析：

app中點(diǎn)擊查詢按鈕==》調(diào)用api進(jìn)行查詢==》返回查詢結(jié)果==>顯示在app中

一、不進(jìn)行驗(yàn)證的方式

api查詢接口：

app調(diào)用：http://api.test.com/getproducts?參數(shù)1=value1.......

如上，這種方式簡(jiǎn)單粗暴，通過調(diào)用getproducts方法即可獲取產(chǎn)品列表信息了，但是這樣的方式會(huì)存在很嚴(yán)重的安全性問題，沒有進(jìn)行任何的驗(yàn)證，大家都可以通過這個(gè)方法獲取到產(chǎn)品列表，導(dǎo)致產(chǎn)品信息泄露。

那么，如何驗(yàn)證調(diào)用者身份呢？如何防止參數(shù)被篡改呢？

二、MD5參數(shù)簽名的方式

我們對(duì)api查詢產(chǎn)品接口進(jìn)行優(yōu)化：

1.給app分配對(duì)應(yīng)的key、secret

2.Sign簽名，調(diào)用API 時(shí)需要對(duì)請(qǐng)求參數(shù)進(jìn)行簽名驗(yàn)證，簽名方式如下：

a. 按照請(qǐng)求參數(shù)名稱將所有請(qǐng)求參數(shù)按照字母先后順序排序得到：keyvaluekeyvalue...keyvalue 字符串如：將arong=1,mrong=2,crong=3 排序?yàn)椋篴rong=1, crong=3,mrong=2 然后將參數(shù)名和參數(shù)值進(jìn)行拼接得到參數(shù)字符串：arong1crong3mrong2。

b. 將secret加在參數(shù)字符串的頭部后進(jìn)行MD5加密 ,加密后的字符串需大寫。即得到簽名Sign

新api接口代碼:

app調(diào)用：http://api.test.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&參數(shù)1=value1&參數(shù)2=value2.......

注：secret 僅作加密使用, 為了保證數(shù)據(jù)安全請(qǐng)不要在請(qǐng)求參數(shù)中使用。

如上，優(yōu)化后的請(qǐng)求多了key和sign參數(shù)，這樣請(qǐng)求的時(shí)候就需要合法的key和正確簽名sign才可以獲取產(chǎn)品數(shù)據(jù)。這樣就解決了身份驗(yàn)證和防止參數(shù)篡改問題，如果請(qǐng)求參數(shù)被人拿走，沒事，他們永遠(yuǎn)也拿不到secret,因?yàn)閟ecret是不傳遞的。再也無(wú)法偽造合法的請(qǐng)求。

但是...這樣就夠了嗎？細(xì)心的同學(xué)可能會(huì)發(fā)現(xiàn)，如果我獲取了你完整的鏈接，一直使用你的key和sign和一樣的參數(shù)不就可以正常獲取數(shù)據(jù)了...-_-!是的，僅僅是如上的優(yōu)化是不夠的。。。。。。

請(qǐng)求的唯一性：

為了防止別人重復(fù)使用請(qǐng)求參數(shù)問題，我們需要保證請(qǐng)求的唯一性，就是對(duì)應(yīng)請(qǐng)求只能使用一次，這樣就算別人拿走了請(qǐng)求的完整鏈接也是無(wú)效的。

唯一性的實(shí)現(xiàn)：在如上的請(qǐng)求參數(shù)中，我們加入時(shí)間戳：timestamp（yyyyMMddHHmmss），同樣，時(shí)間戳作為請(qǐng)求參數(shù)之一，也加入sign算法中進(jìn)行加密。

新的api接口：

app調(diào)用：

http://api.test.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&timestamp=201603261407&參數(shù)1=value1&參數(shù)2=value2.......

如上，我們通過timestamp時(shí)間戳用來(lái)驗(yàn)證請(qǐng)求是否過期。這樣就算被人拿走完整的請(qǐng)求鏈接也是無(wú)效的。

Sign簽名安全性分析：

通過上面的案例，我們可以看出，安全的關(guān)鍵在于參與簽名的secret，整個(gè)過程中secret是不參與通信的，所以只要保證secret不泄露，請(qǐng)求就不會(huì)被偽造。

總結(jié)

上述的Sign簽名的方式能夠在一定程度上防止信息被篡改和偽造，保障通信的安全，這里使用的是MD5進(jìn)行加密，當(dāng)然實(shí)際使用中大家可以根據(jù)實(shí)際需求進(jìn)行自定義簽名算法，比如：RSA，SHA等加密算法。希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論