API签名

在提供API过程中:考虑到SDK的公开性,需要保证调用API的用户是平台注册的用户,

首先:平台提供AccessID 和AccessSecret 给用户,用户需要妥善保管

其次:用户提供参数(AccessID、必要的参数key及value)加验签信息给平台

再次:平台根据发送的参数AccsessID查询AccessSecret并根据一定的验签方式计算验签信息,验证用户的合法性

 

用户需要提交的参数:AccessID=“ID”  time=“(当前时间+4位随机码)” name="名称"  content=“内容” signCode=“验签信息码”等

其中注意:

1. 用户妥善保管AccessSecret

2.用户获取验签信息码的过程:hac(sign+AccessSecret),其中sign=[用户需要提交的参数:AccessID=“ID”  time=“(当前时间+4位随机码)” name="名称"  content=“内容” 等以某种排列组合的方式进行排序获取的字符串,其中包括value值]

3.平台获取到AccessID=“ID” ,查询出AccessSecret,按hac(sign+AccessSecret)计算验签码,与用户提交信息比较,确定用户的身份

4. 注意:如果被截获信息,目的是修改参数,只要参数变化,验签码需要重新计算,但是需要提前知道AccessSecret,避免了恶意截获信息,发起恶意修改攻击

 

 
API签名_第1张图片
 

 

 

 

 

 

 

 

你可能感兴趣的:(api)