开放API接口签名认证

请求参数:access_key、nonce、timestamp、业务参数列表...、sign签名

签名:access_key+nonce+timestamp+业务参数列表+secret_key,业务参数列表按key自然排序,上各参数以&拼接后进行md5加密,md5转为大写作为sign签名

access_key:用户身份标识,前后端约定

nonce:随机字符串,请求唯一标识,每个请求的nonce均被缓存在服务端(redis),并设置10分钟有效期,防止缓存不断累积

timestamp:当前时间戳,用于判断请求与当前时间差,与nonce对应,设置10分钟有效期,超过时间请求失效,既防止请求长期有效又允许客户端和服务端之间存在10分钟时间差

secret_key:密钥,用于生成sign签名,前后端约定,不能泄漏

服务端:拦截请求(拦截器或AOP均可,配合注解拦截指定接口,便于区分拦截不同接口),根据参数重构md5签名,依次检查access_key、nonce、timestamp、sign的一致性和准确性

简化,不缓存可不携带nonce,将timestamp有效期设置在2~3分钟

 

你可能感兴趣的:(Java,http)