带有签名的接口设计 -- 借鉴与改进

最新推荐文章于 2022-05-20 23:09:18 发布
最新推荐文章于 2022-05-20 23:09:18 发布
阅读量468 收藏
点赞数
分类专栏: 其他 文章标签: 带有签名的接口设计 -- 借鉴与改进
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/long13631/article/details/79740789
版权

带有签名的接口设计 -- 借鉴与改进
一 原有参考逻辑
1加签(改造前)


(1)将接口中实际全部上送的字段(除 sign 参数外),按照字段名的 ASCII 码从小到大排序后(字典序),使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 string1。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1 
(2)在 string1 最后直接拼接(不需要用“&”连接)双方约定的签名密钥 K1(接入时后台系统侧分配),得到 stringSignTemp1 字符串。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1zsdfyreuoyamdphhaweyrjbvzkgfdycs 
(3)对 stringSignTemp1 字符串进行 SHA256 运算,得到签名 sign。 
sign=SHA256(stringSignTemp1)=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725 


2验签(改造前)


(1)将收到的报文中所有字段(除 sign 参数外),按照字段名的 ASCII 码从小到大排序后(字典序),使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 string2。 
{"bankType":"CFT","busicd":"PURC","channelOrderNum":"4001532001201707130466979768","chcd":"WXP","chcdDiscount":"0.00","consumerAccount":"orS1BuFv3529BkM7m_ou7wKgDuc4","errorDetail":"成功","inscd":"10130001","mchntid":"100000000000203","merDiscount":"0.00","orderNum":"25026839024001998","respcd":"00","sign":"0faaf0f5e1c99f22460b58446833a0a00411e86091f7db306c4ac2ce84597b3c","terminalid":"00000001","transTime":"2017-07-13 10:40:03","txamt":"000000000001","txndir":"A"} 
拼接后的字符串 string2 为: 
bankType=CFT&busicd=PURC&channelOrderNum=4001532001201707130466979768&chcd=WXP&chcdDiscount=0.00&consumerAccount=orS1BuFv3529BkM7m_ou7wKgDuc4&errorDetail=成功&inscd=10130001&mchntid=100000000000203&merDiscount=0.00&orderNum=25026839024001998&respcd=00&terminalid=00000001&transTime=2017-07-13 10:40:03&txamt=000000000001&txndir=A 
(2)在 string2 最后直接拼接(不需要用“&”连接)双方约定的签名密钥K1(接入时后台系统侧分配),得到 stringSignTemp2 字符串。 
bankType=CFT&busicd=PURC&channelOrderNum=4001532001201707130466979768&chcd=WXP&chcdDiscount=0.00&consumerAccount=orS1BuFv3529BkM7m_ou7wKgDuc4&errorDetail=成功&inscd=10130001&mchntid=100000000000203&merDiscount=0.00&orderNum=25026839024001998&respcd=00&terminalid=00000001&transTime=2017-07-13 10:40:03&txamt=000000000001&txndir=Azsdfyreuoyamdphhaweyrjbvzkgfdycs 
(3)对 stringSignTemp2 字符串进行 SHA256 运算,得到签名 sign。 
sign=SHA256(stringSignTemp2)=0faaf0f5e1c99f22460b58446833a0a00411e86091f7db306c4ac2ce84597b3c 
(4)校验签名,若计算的签名与报文中获取的一致,则验签通过。


(二) 进行改造的加解签逻辑
1加签(改造后)


(1)将接口中实际全部上送的字段(除 sign 参数外),按照字段名的 ASCII 码从小到大排序后(字典序),使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 string1。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1 
(2)在 string1 最后直接拼接(不需要用“&”连接)双方约定的签名密钥 K1(接入时后台系统侧分配),得到 stringSignTemp1 字符串。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1zsdfyreuoyamdphhaweyrjbvzkgfdycs 
(3)对 stringSignTemp1 字符串进行 SHA256 运算,得到签名 sign。 
sign=SHA256(stringSignTemp1)=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725
(4)拼接成字符串stringResult1 = string1 + "&sign=" + sign;
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1&sign=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725
(5)对stringResult1进行URLEncode,放在get请求QueryString中
busicd%3dPURC%26charset%3dutf-8%26inscd%3d10130001%26mchntid%3d100000000000203%26orderNum%3d1481006881300%26scanCodeId%3d130704380939251367%26signType%3dSHA256%26terminalid%3d00000001%26txamt%3d000000000001%26txndir%3dQ%26version%3d2.3.1%26sign%3d2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725




2验签(改造后)


(1)将收到get请求QueryString。 
busicd%3dPURC%26charset%3dutf-8%26inscd%3d10130001%26mchntid%3d100000000000203%26orderNum%3d1481006881300%26scanCodeId%3d130704380939251367%26signType%3dSHA256%26terminalid%3d00000001%26txamt%3d000000000001%26txndir%3dQ%26version%3d2.3.1%26sign%3d2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725 
URLDecode后的字符串 string2 为: 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1&sign=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725
截取"sign=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725"获得报文中的签名
截取stringSRC,"busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1"
(2)在 stringSRC 最后直接拼接(不需要用“&”连接)双方约定的签名密钥K1(接入时后台系统侧分配),得到 stringSignTemp2 字符串。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1zsdfyreuoyamdphhaweyrjbvzkgfdycs 
(3)对 stringSignTemp2 字符串进行 SHA256 运算,得到签名 sign。 
sign=SHA256(stringSignTemp2)=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725 
(4)校验签名,若计算的签名与报文中获取的一致,则验签通过。


改造签名的适用,避免客户解签出现的”签名不一致“问题。在对接过程中,出现最多的也是解签时签名不一致。

 

深圳逆时针

loong-judge
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口签名算法设计、MD5签名算法
11-29
接口签名得工具类,可直接使用, 主要设计参考微信接口方案。
c#RSA-alipay接口请求签名-加密
03-25
c#RSA-alipay接口请求签名-加密,适用于服务端采用java-rsa加解密算法,客户端采用c#,把java模式下的密钥转换成c#模式密钥,公私钥加解密
签名方法
IT界的小菜比
11-16 688
逻辑:首先将所有参数除去sign本身,以及值是空的参数,按参数名字母升序排序,然后按参数1值1参数2值2…参数n值n的方式进行连接,得到一个字符串 然后在连接后得到的字符串前面加上通知验证密钥,然后计算md5值,转成大写 如订单查询参数 http://www.xxx.aspx?sign=sign_value&p2=v2&p1=v1&method=cancel&p3=&pn=vn 第一步,拼
签名算法 待签名参数按照字段名的ASCII码大小排序 Android、JS中实现
huch的博客
08-11 6038
验签是作为一个api接口避免裸奔的必要手段之一,原理就是前后端约定一套签名规则,首先前端在请求api接口时会增加一个sign参数,其值来源是对所提交的参数按照约定的签名规则去生成;接着后端同样会针对其接收到的参数(除sign外)按照约定的签名规则也生成一个sign,然后对2者进行比较,如果不一致则认为此次请求是未非法无效的,不予处理。 参考微信公众平台的签名算法: 签名生成规则如下:参与签名的字...
签名生成 参数名ASCII码从小到大排序(新)
qq_25330791的博客
11-05 2303
签名生成的通用步骤如下: 第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的式(即key1=value1&key2=value2…)拼接成字符串stringA。 特别注意以下重要规则: ◆ 参数名ASCII码从小到大排序(字典序); ◆ 如果参数的值为空不参与签名; ◆ 参数名区分大小写; ◆ 接口可能增加字段,验证签名时必须支持增加的扩展字段 第二步,在stringA最后拼接上key得到str.
sha256_HMAC签名验签,并对传入参数(除了sign参数)按照KEY值进行字典序排序(按照KEY值的ASCII码从小到大),并用&作为各参数之间的分隔符将参数拼接成字符串
m0_57661807的博客
01-11 2414
一、参数按照KEY值进行字典序排序(按照KEY值的ASCII码从小到大),并用&作为各参数之间的分隔符将参数拼接成字符串。这里用到了SortedMap。 /** * getSortedString 对参数按照Key进行ASCII排序 * @param jsonObject 请求参数 * @return 排序拼装后的字符串 */ public static String getSortedString(JSONObject jsonObject){
Java接口签名,按字典正序排序
weixin_40050628的博客
03-03 1159
Java接口签名,按字典正序排序工具类方法总结 方法 1.接口签名 public class SignUtils { /** * 生成时间戳 * */ public static String getTimestamp() { long timestampLong =System.currentTimeMillis(); String timestampStr = String.valueOf(timestampLong);
行业文档-设计装置-多种接口方式的USBKey.zip
09-05
USBKey,也称为USB数字证书或USB令牌,是一种安全设备,用于存储用户的数字证书和私钥,以便在进行网络身份验证、数据加密、数字签名等安全操作时使用。USBKey通常具有硬件加密功能,能够提供比软件证书更高的安全性...
基于RSA的数字签名设计与实现(包括SHA-512对原始Message的散列)
最新发布
12-02
实验课上做的小项目(包括前端界面):环境:IDEA技术框架:jsp+servlet+java有生成签名和验证签名界面目的:基于RSA的数字签名设计与实现(包括SHA-512对原始Message的散列)掌握RSA算法的基本原理,通过用RSA算法对...
vwifibus10.0(带数字签名)-2019.zip
11-24
《vwifibus10.0(带数字签名)-2019.zip》是一个包含虚拟WiFi总线驱动的软件包,特别强调了该版本已经通过了数字签名验证,确保了软件的安全性和可靠性。该驱动程序主要用于支持Virtual WiFi技术,允许用户将单一...
排序六:希尔排序
aejt95023的博客
04-11 221
1 using System; 2 using System.Collections.Generic; 3 using System.Linq; 4 using System.Text; 5 using System.Threading.Tasks; 6 7 namespace ShellSort 8 { 9 class Program ...
接口参数签名验证
U2133048的博客
03-29 1018
与第三方对接时,会存在请求参数是否被篡改的问题,这时,我们就得进行接口签名验证,防止请求参数被篡改进而影响请求结果。 参数签名算法: 1、请求参数名的字母按照升序进行非空排列,使用URL键值对的式(key1=value1&key=value2...),拼接成字符串stringA; 如:请求参数{alterFld=null,reqTm=29, characterSet=00, onStationId=262019},排列之后stringA={characterSet=00&onStat
接口参数验签排序问题(map类型,通过key排序
不吃肉肉的博客
11-17 964
接口参数验签排序问题(map类型,通过key排序) 在设计对外的接口中,为了参数的安全性,经常会进行参数加密验签,以保证所传参数俩边一致,但是在生成签名时,如果参数的顺序不一致就会导致生成的签名不同,从而验签失败,因此参数排序成了重中之重。 public static String sign(Map<String, Object> data, String key) { if (data == null || data.isEmpty()) { retu
java学习-排序及加密签名时数据排序方式
weixin_30299539的博客
12-26 639
排序有两种 1. 类实现comparable接口调用List.sort(null)或Collections.sort(List<T>)方法进行排序 jdk内置的基本类型包装类等都实现了Comparablel接口,默认是使用自然排序,即升序排序 自定义类实现Comparable接口必须要实现compareTo()方法,自己定义排序方式 2.另一种是List<T>中T类...
签名:实现参数字典排序,然后拼接为url参数形式
weixin_30752699的博客
10-16 884
在很多地方请求参数需要做处理例如: 步骤 1.参数字典排序。 2.拼接字符。 /// <summary> /// 生成签名 /// </summary> /// <param name="paramlst">参数列表</param> //...
微信支付--签名
吴唐人的博客
07-12 7496
微信支付, 是基于微信客户端提供的支付服务功能。 同时向商户提供销售经营分析、 账户和资金管理的功能支持。 用户通过扫描二维码、 反扫二维码等多种方式调起微信支付模块完成支付。 原始签名字符串 无论是请求还是应答, 签名原始串按以下方式组装成字符串: 1、 除 sign 字段外, 所有参数按照字段名的 ascii 码从小到大排序后使用 QueryString 的式(
参数名ASCII码从小到大排序(生成签名 )
sinat_34974437的博客
03-09 2675
1、 将整个json报文(剔除signature字段参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的式(key1=value1&key2=value2…)拼接成字符串signBlock。 2、 获取工作密钥signKey, 在signBlock最后拼接上signKey得到signBlock&signKey字符串,,得到signsignature。 ...
如何设计安全可靠的开放接口---之签名(sign)
自律使我自由
05-20 4743
文章目录【如何设计安全可靠的开放接口】系列前言前置知识 【如何设计安全可靠的开放接口】系列 1. 如何设计安全可靠的开放接口—之Token 2. 如何设计安全可靠的开放接口—之AppId、AppSecret 前言 本节内容可以说是开放接口设计的关键所在,上一节在最后也提到了appId、appSecret如果没有接下来的这一步签名,将变的毫无意义,所以本节我们就来正式看看应该如何进行签名。 前置知识 首先,在介绍签名方式之前,我们必须先了解2个概念,分别是:非对称加密(比如:RSA)、摘要算法(比如:MD5)
加密哈希函数:SHA-3竞赛与安全挑战
4. **NIST SHA-3竞赛**:鉴于上述问题,美国国家标准与技术研究所(NIST)于2007年启动了一项竞赛,旨在寻找新的哈希函数标准,以替代MD5和SHA-1。这次竞赛鼓励全球的研究人员提出新的设计,以提供更高的安全性和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值