有关 openAPI 的一些总结

目前主流的 APi 的验证是:Token+sign

sign 主要是保证数据的真实性

token 主要是进行接口安全访问的

有关 openAPI 的一些总结_第1张图片

  1. sign验证签名( sha256Hex)
    一般将一些平台的版本及平台 id 等字段进行固定拼接后再进行摘要算法处理
    // 参与签名计算的Key-Value列表
    Map<String, String> paramMap = new HashMap<>();
    paramMap.put("X-FASC-App-Id", appId);
    paramMap.put("X-FASC-Sign-Type", "HMAC-SHA256");
    paramMap.put("X-FASC-Timestamp", timestamp);
    paramMap.put("X-FASC-Nonce", nonce);
    paramMap.put("X-FASC-AccessToken", accessToken);
    paramMap.put("X-FASC-Api-SubVersion", "5.1");
    paramMap.put("bizContent", bizContent);
    // 排序后的参数字符串,FddCryptUtil为法大大提供得签名工具类
    String paramToSignStr = FddCryptUtil.sortParameters(paramMap);
    // 计算之后得到签名字符串,该签名字符串需放到请求头中的X-FASC-Sign字段
String signText = sha256Hex(paramToSignStr);

然后 hearder 需要加参数Timestamp,与签名的时间戳保持一致就行,服务端到时候需要验签,再根据时间戳判断几分钟内签名有效就行

这样的做法只能说是相对安全的,对于国外节点的服务器来说,时间戳必须做转换。

你可能感兴趣的:(java)