JAVA项目中通常会需要通过对接第三方API来扩展项目业务,如支付,风控,语音识别,图像处理等。但看似简单的发送/接收请求却包含了Http请求,数据加密/解密,签名加签/验签,数据处理等内容。这次通过对接某公司API,也踩了不少坑,跟大家分享一下。
一般来说,文档的易读程度和更新速度能说明被对接公司技术部门的水平。我见过比较好的公司例如 阿里云,连连支付,FaceId,白骑士等等。但是也有比较坑的,这一点大家就要注意了。
文档里一般有更新时间,最近更新时间距离当前日期越近越好。
如果真的遇到比较老的文档和demo,那就多和对方技术人员沟通,搞不定的地方尽快去问对方技术,不要钻牛角尖。
为了防止被抓包,一般都会使用加密算法来对请求参数进行加密,常见加密方式有,RSA,MD5,ITRUS,DES等等,如果不是有特殊要求,选择优先级 MD5>DES>RAS>ITRUS. 说白了就是怎么简单怎么来。
注意点:
MD5加密方式有好几种类型,一定要弄清楚要对接的接口是MD5 32位 还是 MD5 16位
JAVA开发的话 RAS加密 密钥记得进行 PKCS8转码
ITRUS加密注意替换JDK中的两个jar包:
用无限制扩展包替换 jdk 安装目录下的 local_policy.jar 和 US_export_policy.jar
例如:jdk 安装目录下: C:\Program Files\Java\ jdk1.8.0_31 替 换 文 件 所 在 的 目 录 : C:\Program Files\Java\ jdk1.8.0_31 \jre\lib\security
jdk8 替换包参考:《jdk 替换包.zip》中《jce_policy-8.zip》
jdk7 替换包参考:《jdk 替换包.zip》中《UnlimitedJCEPolicyJDK7.zip》
jdk6 替换包参考:《jdk 替换包.zip》中《jce_policy-6.zip》
jdk8 替换包下载地址: http://www.oracle.com/technetwork/java/javase/downloads/jce8-downlo ad-2133166.html
jdk7 替换包下载地址: http://www.oracle.com/technetwork/java/embedded/embedded-se/downloa ds/jce-7-download-432124.html
jdk6 替换包下载地址: http://www.oracle.com/technetwork/java/embedded/embedded-se/downloa ds/jce-6-download-429243.html
对参数进行加密签名,通常都需要过滤掉空参数以及字段signType和sign。 一般的demo中都会带的有过滤方法,也可以自己写,难度不大
private static Map paraFilter(Map oriMap) {
Map result = new HashMap();
if (oriMap != null && oriMap.size() > 0) {
Iterator var2 = oriMap.entrySet().iterator();
while(var2.hasNext()) {
Entry iterator = (Entry)var2.next();
String value = (String)iterator.getValue();
if (!StringUtils.isBlank(value) && !((String)iterator.getKey()).equalsIgnoreCase("sign") && !((String)iterator.getKey()).equalsIgnoreCase("sign_type")) {
result.put(iterator.getKey(), value);
}
}
return result;
} else {
return result;
}
}
加密前,注意检查参数名是否完全和文档中相同,一个空格都不能多,也不能少。否则对方验签失败,这种细节的错误有时候也很难找。
注意点:我喜欢用JSONObject对装载参数,但是这里有一个问题,fastJson工具在对jsonObject进行格式转换处理时,可能会打乱原json对象里的字段顺序,导致自己/对方签名校验败。这里有三个解决方案
1、解析时增加 Feature.OrderedField 参数固定顺序
Map params = JSON.parseObject(jsonStr, new TypeReference
2、初始化json对象为有序对象:
JSONObject retObj = new JSONObject(true);
这样生成的json对象就与放入数据时一致。
3、使用Gson解析
JsonObject returnData = new JsonParser().parse(replyString).getAsJsonObject();
一般来说第三方API主要使用POST/GET两种方法。按照demo或者文档中的示例能很快确定对方接口的数据格式以及请求方式,不要自己瞎猜乱写,这样效率太低。有的公司会直接提供SDK或者jar包供我们参考,这是极好的。
注意点:
不要轻易将sdk或者jar包引入自己项目,认真检查是否埋有恶意代码。 也可以直接将需要用的代码复制粘贴出来,新建工具类使用。ctrl+c/ctrl+v美滋滋
发送务必检查是否对请求前对参数进行urlencode编码,否则会数据被转义,参数校验失败。
注意点:
1.在需要回调(异步通知API结果)的时候,我方会使用亚瑟(雾)。。。会使用一个异步请求接口来接受异步通知,即使对方说明了是post或者get请求方法通知,也不要在@RequestMapping()注解中标明请求方式,这样能给对方没有什么限制,不会容易发生415(bad request)错误码的情况。
2.尽量不要使实力类在方法入参里直接接参数,参数出错了直接就是415(bad request),不容易debug,用request.getParameter()的方式写一个工具类。遍历处请求参数,set到对象里,这是我们项目的类,自己写也不难,百度你懂的
public static NoticeResp parseNotice(HttpServletRequest request) {
NoticeResp resp = new NoticeResp();
Field[] fields = NoticeResp.class.getDeclaredFields();
for (Field field : fields) {
ReflectionUtils.setFieldValue(resp, field.getName(), request.getParameter(field.getName()));
}
return resp;
}
如:
@RequestMapping("notify")
@ResponseBody
public Object notify(HttpServletRequest request, HttpServletResponse response){
}
下班了,也基本说完了,有什么疑问可以留言,欢迎多交流,指正