开放平台签名验签方案

开放平台鉴权方案

• 1. 公共参数
• 2. 客户端签名
• 3. 服务端鉴签
• 4. 服务端appId与appSecret生成方式

1.公共参数

参数名	类型	含义
appId	string	appId
nonce	string	随机字符串，每次请求重新生成，随机性越大越好，32byte以内，a-zA-Z0-9，例如：d15D792875807b0FEc620f4db2ac1667
timestamp	string	unix时间戳（毫秒级），每次请求重新生成，例如：1533203363618
sig	string	签名结果，对除sig以外其他参数进行计算的值，每次请求都需重新生成，生成的sig全为小写

2.客户端签名过程

• 注：（除post请求的参数都在body体内的区别以外，post与get请求的签名方式相同）

1. 筛选参数并排序
   获取sig字段以外的所有请求参数原始值（注意：签名阶段不要对参数值做处理，比如不能进行urlencode编码，在请求的过程时可以进行urlencode编码，如传输json时的url编码），并按照第一个字符的键值ASCII码递增排序（字母升序排序），如果遇到相同字符则按照第二个字符的键值ASCII码递增排序，以此类推。

{
    appId: 'xxx',
    nonce: 'd15D792875807b0FEc620f4db2ac1667',
    timestamp: '1533203363618',
    ...
    key: 'value',
    ...
}

2. 将排序后的参数与其对应的值，组合成“参数=参数值”的格式，并把参数用‘&’符号连接起来，此时生成的字符串为待签名字符串，例如字符串名称为paramStr。

appId=xxx&nonce=d15D792875807b0FEc620f4db2ac1667&timestamp=1533203363618&...&key=value&...

3. 将带签名字符串进行base64编码（注意base64编码的字符集为utf8），例如得到的字符串为base64ParamsStr。

base64ParamsStr = Buffer.from('步骤2所得字符串').toString('base64');

4. 使用appSecret作为哈希key，对步骤3获得的base64ParamStr使用HMAC-SHA256算法哈希得到字节数组（注意：不要转成字符串），用伪代码表示为：

sha256Result = crypto.createHmac('sha256', appSecret).update(base64ParamsStr).digest();

5. 对得到的sha256Result进行MD5的计算的到32位小写字符串作为sig。

sig = crypto.createHash('md5').update(sha256Result).digest('hex').toLowerCase();

6. 将sig拼接在其他请求参数的末尾发送

//url
appId=xxx&...&...&sig=xxx

或

//body
{
    appId: 'xxx',
    nonce: 'd15D792875807b0FEc620f4db2ac1667',
    timestamp: '1533203363618',
    ...
    key: 'value',
    ...
    sig: 'xxx'
}

3.服务端鉴签过程

1. 通过appId查找用户的appSecret验证一致性。
2. 将前端所传的参数去掉sig参数，进行如客户端签名方式一致的签名，验证客户端所传sig是否一致。

4.服务端生成appId与appSecret生成方式

1. appId = appKey = 固定字符串 + useIds
2. appSecret = hmac-sha1(userId + 生成appSecret的毫秒级时间戳)