第三方API对接常见问题

JAVA项目中通常会需要通过对接第三方API来扩展项目业务,如支付,风控,语音识别,图像处理等。但看似简单的发送/接收请求却包含了Http请求,数据加密/解密,签名加签/验签,数据处理等内容。这次通过对接某公司API,也踩了不少坑,跟大家分享一下。

 

1.文档/demo版本过旧,被对接方服务端代码已经更改,但文档未更新

一般来说,文档的易读程度和更新速度能说明被对接公司技术部门的水平。我见过比较好的公司例如 阿里云,连连支付,FaceId,白骑士等等。但是也有比较坑的,这一点大家就要注意了。

文档里一般有更新时间,最近更新时间距离当前日期越近越好。

第三方API对接常见问题_第1张图片

如果真的遇到比较老的文档和demo,那就多和对方技术人员沟通,搞不定的地方尽快去问对方技术,不要钻牛角尖。

2.加密方式问题

为了防止被抓包,一般都会使用加密算法来对请求参数进行加密,常见加密方式有,RSA,MD5,ITRUS,DES等等,如果不是有特殊要求,选择优先级 MD5>DES>RAS>ITRUS.  说白了就是怎么简单怎么来。

注意点:

MD5加密方式有好几种类型,一定要弄清楚要对接的接口是MD5 32位 还是 MD5 16位

 JAVA开发的话 RAS加密 密钥记得进行 PKCS8转码

ITRUS加密注意替换JDK中的两个jar包:
          用无限制扩展包替换 jdk 安装目录下的 local_policy.jar 和 US_export_policy.jar

例如:jdk 安装目录下: C:\Program Files\Java\ jdk1.8.0_31 替 换 文 件 所 在 的 目 录 : C:\Program Files\Java\ jdk1.8.0_31 \jre\lib\security

jdk8 替换包参考:《jdk 替换包.zip》中《jce_policy-8.zip》

jdk7 替换包参考:《jdk 替换包.zip》中《UnlimitedJCEPolicyJDK7.zip》

jdk6 替换包参考:《jdk 替换包.zip》中《jce_policy-6.zip》

jdk8 替换包下载地址: http://www.oracle.com/technetwork/java/javase/downloads/jce8-downlo ad-2133166.html

jdk7 替换包下载地址: http://www.oracle.com/technetwork/java/embedded/embedded-se/downloa ds/jce-7-download-432124.html

jdk6 替换包下载地址: http://www.oracle.com/technetwork/java/embedded/embedded-se/downloa ds/jce-6-download-429243.html

3.加签验签问题

对参数进行加密签名,通常都需要过滤掉空参数以及字段signType和sign。 一般的demo中都会带的有过滤方法,也可以自己写,难度不大

private static Map paraFilter(Map oriMap) {
        Map result = new HashMap();
        if (oriMap != null && oriMap.size() > 0) {
            Iterator var2 = oriMap.entrySet().iterator();

            while(var2.hasNext()) {
                Entry iterator = (Entry)var2.next();
                String value = (String)iterator.getValue();
                if (!StringUtils.isBlank(value) && !((String)iterator.getKey()).equalsIgnoreCase("sign") && !((String)iterator.getKey()).equalsIgnoreCase("sign_type")) {
                    result.put(iterator.getKey(), value);
                }
            }

            return result;
        } else {
            return result;
        }
    }

加密前,注意检查参数名是否完全和文档中相同,一个空格都不能多,也不能少。否则对方验签失败,这种细节的错误有时候也很难找。

注意点:我喜欢用JSONObject对装载参数,但是这里有一个问题,fastJson工具在对jsonObject进行格式转换处理时,可能会打乱原json对象里的字段顺序,导致自己/对方签名校验败。这里有三个解决方案 

1、解析时增加  Feature.OrderedField  参数固定顺序

 Map params = JSON.parseObject(jsonStr, new TypeReference>(){}, Feature.OrderedField);

2、初始化json对象为有序对象:

JSONObject retObj = new JSONObject(true);

这样生成的json对象就与放入数据时一致。

3、使用Gson解析

JsonObject returnData = new JsonParser().parse(replyString).getAsJsonObject();

4.HttpClient发送请求问题

一般来说第三方API主要使用POST/GET两种方法。按照demo或者文档中的示例能很快确定对方接口的数据格式以及请求方式,不要自己瞎猜乱写,这样效率太低。有的公司会直接提供SDK或者jar包供我们参考,这是极好的。

注意点:

不要轻易将sdk或者jar包引入自己项目,认真检查是否埋有恶意代码。 也可以直接将需要用的代码复制粘贴出来,新建工具类使用。ctrl+c/ctrl+v美滋滋

发送务必检查是否对请求前对参数进行urlencode编码,否则会数据被转义,参数校验失败。

5.回调问题

注意点:

1.在需要回调(异步通知API结果)的时候,我方会使用亚瑟(雾)。。。会使用一个异步请求接口来接受异步通知,即使对方说明了是post或者get请求方法通知,也不要在@RequestMapping()注解中标明请求方式,这样能给对方没有什么限制,不会容易发生415(bad request)错误码的情况。

2.尽量不要使实力类在方法入参里直接接参数,参数出错了直接就是415(bad request),不容易debug,用request.getParameter()的方式写一个工具类。遍历处请求参数,set到对象里,这是我们项目的类,自己写也不难,百度你懂的

 public static NoticeResp parseNotice(HttpServletRequest request) {
       NoticeResp resp = new NoticeResp();
        Field[] fields = NoticeResp.class.getDeclaredFields();
        for (Field field : fields) {
            ReflectionUtils.setFieldValue(resp, field.getName(), request.getParameter(field.getName()));
        }
        return resp;
    }

如:

 @RequestMapping("notify")
 @ResponseBody
 public Object notify(HttpServletRequest request, HttpServletResponse response){

}

 

下班了,也基本说完了,有什么疑问可以留言,欢迎多交流,指正

你可能感兴趣的:(第三方API对接常见问题)