签名参数sign生成说明-tencent

来源：

http://wiki.open.qq.com/wiki/%E7%AD%BE%E5%90%8D%E5%8F%82%E6%95%B0sign%E7%94%9F%E6%88%90%E8%AF%B4%E6%98%8E#1._sign.E7.94.9F.E6.88.90.E8.AF.B4.E6.98.8E

1. sign生成说明

这里以如下请求为例，来说明sign的生成步骤：

http://cosapi.myqcloud.com/api/cos_create_bucket?accessId=9999&bucketId=abc&acl=0&time=1361431471&sign=XNibuRA%2FLx3vjq1FFiv4AqzygOA%3D

Step 1. 构造源串

源串是由2部分内容用“&”拼接起来并进行UrlEncode编码：urlencode(api_name&a=x&b=y&...)

（1） 将除“sig”外的所有参数按key进行字典升序排列，将api_name和排序后的参数(key=value)用&拼接起来。
例如：

/api/cos_create_bucket&accessId=9999&acl=0&bucketId=abc&time=1361431471

（2）将上面生成的字符串进行URL编码。
请开发者关注：URL编码注意事项，否则容易导致后面签名不能通过验证。 
例如：

%2Fapi%2Fcos_create_bucket%26accessId%3D9999%26acl%3D0%26bucketId%3Dabc%26time%3D1361431471

Step 2. 生成sign值

（1）获取accessKey。
在“文件操作”页面，点击“获取accessKey”按钮，即可查看到accessId和accessKey。

（2）使用HMAC-SHA1加密算法，使用 accessKey 对 Step1 中得到的源串加密。
（注：一般程序语言中会内置HMAC-SHA1加密算法的函数，例如PHP5.1.2之后的版本可直接调用hash_hmac函数。）

（3）然后将加密后的字符串进行Base64编码，得到的签名值结果如下：
（注：一般程序语言中会内置Base64编码函数，例如PHP中可直接调用 base64_encode() 函数。）

XNibuRA/Lx3vjq1FFiv4AqzygOA=

（4）由于生成的签名中可能包含“=”，因此需要再进行一次URL编码，得到的签名值结果如下：

XNibuRA%2FLx3vjq1FFiv4AqzygOA%3D

2. sign生成特例说明

下载文件时，请求中没有api_name，因此在生成签名时，不需要加入api_name。
例如，进行URL编码前，字符串如下即可：

accessId=9999&bucket=abc&path=/dir1/test.jpg&time=1361516410

3. URL编码注意事项

URL编码规则：
签名验证时，要求对字符串中除了“-”、“_”、“.”之外的所有非字母数字字符都替换成百分号(%)后跟两位十六进制数。
十六进制数中字母必须为大写。

注意事项：
1. 某些系统方法，例如.NET系统方法HttpUtility.UrlEncode会将‘=’编码成‘%3d’，而不是%3D，导致加密签名通不过验证，请开发者注意检查。

2.Java 1.3和早期版本中，调用java.net.URLEncoder下的方法进行URL编码时，某些特殊字符并不会被编码，例如星号(*)。
由于URL编码规则中规定了星号(*)必须编码，因此在请求字符串中含星号(*)的情况下如果使用了上述方法，会导致生成的签名不能通过验证。
因此，如果参数值中含有* ，在使用类java.net.URLEncoder下的方法进行编码后，需开发人员手动将星号字符“*”替换为“%2A”，否则将导致加密签名一直通不过验证，请开发者注意检查。

3. 某些语言的urlencode方法会把“空格”编码为“+”，实际上应该编码为“%20”。这也将生成错误的签名，导致签名通不过验证。 
请开发者注意检查，手动将“+”替换为“%20”。
在PHP中，推荐用rawurlencode方法进行URL编码。

===========================================================

来源：http://blog.csdn.net/fengshizty/article/details/48754609

得转载。

目录(?)[+]

前言

       在app开放接口api的设计中，避免不了的就是安全性问题，因为大多数接口涉及到用户的个人信息以及一些敏感的数据，所以对这些接口需要进行身份的认证，那么这就需要用户提供一些信息，比如用户名密码等，但是为了安全起见让用户暴露的明文密码次数越少越好，我们一般在web项目中，大多数采用保存的session中，然后在存一份到cookie中，来保持用户的回话有效性。但是在app提供的开放接口中，后端服务器在用户登录后如何去验证和维护用户的登陆有效性呢，以下是参考项目中设计的解决方案，其原理和大多数开放接口安全验证一样，如淘宝的开放接口token验证，微信开发平台token验证都是同理。

签名设计

     对于敏感的api接口，需使用https协议

           https是在http超文本传输协议加入SSL层，它在网络间通信是加密的，所以需要加密证书。

           https协议需要ca证书，一般需要交费。

     签名的设计

           原理：用户登录后向服务器提供用户认证信息（如账户和密码），服务器认证完后给客户端返回一个Token令牌，用户再次获取信息时，带上此令牌，如果令牌正取，则返回数据。对于获取Token信息后，访问用户相关接口，客户端请求的url需要带上如下参数：

         时间戳：timestamp

         Token令牌：token

         然后将所有用户请求的参数按照字母排序（包括timestamp，token），然后更具MD5加密（可以加点盐），全部大写，生成sign签名，这就是所说的url签名算法。然后登陆后每次调用用户信息时，带上sign，timestamp，token参数。

例如：原请求https://www.andy.cn/api/user/update/info.shtml?city=北京 （post和get都一样，对所有参数排序加密）

 加上时间戳和token

       https://www.andy.cn/api/user/update/info.shtml?city=北京&timestamp=12445323134&token=wefkfjdskfjewfjkjfdfnc

      然后更具url参数生成sign

      最终的请求如

         https://www.andy.cn/api/user/update/info.shtml?city=北京&timestamp=12445323134&token=wefkfjdskfjewfjkjfdfnc&sign=FDK2434JKJFD334FDF2

其最终的原理是减小明文的暴露次数；保证数据安全的访问。

具体实现如下：

           1. api请求客户端想服务器端一次发送用用户认证信息（用户名和密码），服务器端请求到改请求后，验证用户信息是否正确。

        如果正确：则返回一个唯一不重复的字符串（一般为UUID），然后在Redis（任意缓存服务器）中维护Token----Uid的用户信息关系，以便其他api对token的校验。

        如果错误：则返回错误码。

          

            2.服务器设计一个url请求拦截规则

               （1）判断是否包含timestamp，token，sign参数，如果不含有返回错误码。

               （2）判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间（时间自定义如半个小时），如果超过则说明该                         url已经过期（如果url被盗，他改变了时间戳，但是会导致sign签名不相等）。

               （3）判断token是否有效，根据请求过来的token，查询redis缓存中的uid，如果获取不到这说明该token已过期。

               （4）根据用户请求的url参数，服务器端按照同样的规则生成sign签名，对比签名看是否相等，相等则放行。（自然url签名                       也无法100%保证其安全，也可以通过公钥AES对数据和url加密，但这样如果无法确保公钥丢失，所以签名只是很大程 度上保证安全）。

                （5）此url拦截只需对获取身份认证的url放行（如登陆url），剩余所有的url都需拦截。

            3.Token和Uid关系维护

               对于用户登录我们需要创建token--uid的关系，用户退出时需要需删除token--uid的关系。

签名实现

          获取全部请求参数

              

[java]  view plain  copy

1.              String sign = request.getParameter("sign");  
2. Enumeration<?> pNames =  request.getParameterNames();  
3. Map<String, Object> params = new HashMap<String, Object>();  
4. while (pNames.hasMoreElements()) {  
5.     String pName = (String) pNames.nextElement();  
6.     if("sign".equals(pName))continue;  
7.     Object pValue = request.getParameter(pName);  
8.     params.put(pName, pValue);  
9. }  

   

           生成签名

           

[java]  view plain  copy

1.        public static String createSign(Map<String, String> params, boolean encode)  
2.         throws UnsupportedEncodingException {  
3.     Set<String> keysSet = params.keySet();  
4.     Object[] keys = keysSet.toArray();  
5.     Arrays.sort(keys);  
6.     StringBuffer temp = new StringBuffer();  
7.     boolean first = true;  
8.     for (Object key : keys) {  
9.         if (first) {  
10.             first = false;  
11.         } else {  
12.             temp.append("&");  
13.         }  
14.         temp.append(key).append("=");  
15.         Object value = params.get(key);  
16.         String valueString = "";  
17.         if (null != value) {  
18.             valueString = String.valueOf(value);  
19.         }  
20.         if (encode) {  
21.             temp.append(URLEncoder.encode(valueString, "UTF-8"));  
22.         } else {  
23.             temp.append(valueString);  
24.         }  
25.     }  
26.   
27.     return MD5Utils.getMD5(temp.toString()).toUpperCase();  
28. }  

=================================================

参考三：https://segmentfault.com/q/1010000005941869