服务器签名文件,服务端签名

最新推荐文章于 2022-09-19 11:08:32 发布
最新推荐文章于 2022-09-19 11:08:32 发布
阅读量526 收藏
点赞数
文章标签: 服务器签名文件

目标

签名方案只验证 服务端签名前的支付数据 和 tt.pay 发送到字节跳动后端的支付数据 的一致性(因而,具体字段有哪些,以及字段的值是否正确并不由签名验证)

生成签名规则

Key 筛选

去掉请求参数中的字节类型字段(如文件、字节流)、sign 与 risk_info 字段、value 为空的字段(某些接口请求参数中特殊标明不参与签名的字段也需要去掉)。

K-V 排序和拼接

把筛选后的 k-v 集合按照 key 的 ASCII 码升序排序,例如:a, a1, abc, abcd, abce, abd, b1, ba

k-v 按照 key=value 的格式链接,并且按照 key 排序使用 & 连接成一个字符串,生成待签名字符串

MD5 加签MD5(待签名字符串 + app_secret); // 待签名字符串 + app_secret 是字符串直接拼接,待签名字符串在前,中间没有连接符。

完整流程

例如下面是我们待验签的 orderInfo:{

app_id: '800000000001',

merchant_id: '1900000001',

timestamp: 1570694312,

sign_type: 'MD5',

out_order_no: '201900000000000001',

total_amount: 1,

product_code: 'pay',

payment_type: 'direct',

trade_type: 'H5',

version: '2.0',

currency: 'CNY',

subject: '测试订单',

body: '测试订单',

uid: '0000000000000001',

trade_time: 1570585744,

valid_time: 300,

notify_url: '',

risk_info: '{"ip":"120.230.0.0"}',

wx_type: 'MWEB',

wx_url: 'https://wx.tenpay.com/xxx',

alipay_url: 'app_id=2019000000000006&biz_content=xxxx'

}

则待签名字符串 unsigned_str 为:alipay_url=app_id=2019000000000006&biz_content=xxxx&app_id=800000000001&body=测试订单&currency=CNY&merchant_id=1900000001&out_order_no=201900000000000001&payment_type=direct&product_code=pay&sign_type=MD5&subject=测试订单&timestamp=1570694312&total_amount=1&trade_time=1570585744&trade_type=H5&uid=0000000000000001&valid_time=300&version=2.0&wx_type=MWEB&wx_url=https://wx.tenpay.com/xxx

若你的 app_secret 是 'a',那么带入上述 unsigned_str,最终 MD5(unsigned_str + app_secret) 后签名字符串 signed_str 应为:0f1e3358a9898d7c4c6c23740251808a验证:你可以在你的验签方法里用上面的 orderInfo 和 app_secret 数据测试,验证与我们给出的 unsigned_str 和 signed_str 是否一致保持一致:通过上述方式生成签名 sign 之后,将该 sign 字段挂在 orderInfo 上并最终透传至前端 tt.pay,传递过程中请不要增删或修改任何字段(保持服务端签名前的支付数据和 tt.pay 发送到字节跳动后端的支付数据一致),否则会导致签名检验不通过

签名代码示例(以 Node 为例)const crypto = require("crypto");

const createSign = (params, appSecret) => {

const paramKeys = Object.keys(params).sort();

let signStr = "";

paramKeys.forEach(key => {

let value = params[key];

// 空值,risk_info, sign 不参与签名

if (!value || ["risk_info", "sign"].indexOf(key) >= 0) {

return;

}

if (signStr.length > 0) {

signStr += "&";

}

if (typeof value === "object") {

value = JSON.stringify(value);

}

signStr += key + "=" + value;

});

signStr += `${appSecret}`;

console.log("signStr:", signStr);

const md5 = crypto.createHash("md5");

const sign = md5.update(signStr).digest("hex");

return sign;

};

签名验证失败排查方案服务端:服务端生成签名方式可能有误,请参考上方「完整流程」中的 orderInfo 与 app_secret 代入你的签名方法,验证与我们给出的预期 unsigned_str 和 signed_str 是否一致,不一致将导致签名验证失败

小程序端:请保证带有 sign 签名的 orderInfo 由服务端返回且与 tt.pay 中传入的 orderInfo 完全一致,不一致将导致签名验证失败

反馈:若上面两者已经确认无误,但签名验证依然无法通过,请在开发者社区反馈,反馈中请提供线上报 CD0025 失败订单的 unsigned_str

各语言签名实现

可参考以下语言 Demo 中签名的实现

谷经理
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手游客户端被破解后通过服务器对抗脱机挂---pk服务器签名规则
waweroas的博客
10-15 1828
前言: *其实这些规则看着多,都可以用des加密来满足,懂原理后工作量很少,正常1天就可以写完,只是一个小窍门 (为什么用des,因为des是需要确保数据完整性才能正确解密的算法,换其他也行,只要是需要整段密文才能解密的算法就行) *AppStore不给更新native代码,审核又慢,导致签名规则不能经常更换 *小公司客户端被破解是时间问题 *不会对正常用户产生过多影响,计算被分散到每个用户,最多...
基于数字签名技术的挑战/响应式认证方式
最新发布
m0_73514785的博客
01-29 822
当客户端接收到服务器的发送的随机数后,将此随机数传入令牌,令牌使用该随机数与内部存储的密钥进行加密运算,并将加密的结果传送给服务器,这就是这种认证方式中的“响应”;这样,当服务器端接收到客户端发送的加密结果后,就将客户端的加密结果与服务器端的加密运算结果进行比对,如果比对的结果相同,则认为该用户是合法用户。在挑战/响应的认证过程中,用户的密钥保存在用户持有的令牌内,服务器维护着一个用户的密钥数据库,服务器将用户对自己发送的随机数的加密结果和使用数据库中存储的该用户的密钥加密随机数的结果对比来完成认证。
服务之间鉴权加签
ydd100100的博客
09-19 211
鉴权加签
DSVS7050签名服务器的网站,吉大正元数字签名服务器-安装部署手册(COM版 VCTK_S接口)2.1.1.doc...
weixin_32147807的博客
08-03 756
吉大正元数字签名服务器-安装部署手册(COM版 VCTK_S接口)2.1.1数字签名服务器v2.1.1安装部署手册(VSTK接口 COM版)V2.1.1长 春 吉 大 正 元 信 息 技 术 股 份 有 限 公 司Jilin University Information Technologies Co., Ltd.目录1引言21.1概述21.2开发平台及编程语言21.3名词解释22程序部署32.1...
统一签名
weixin_30249203的博客
08-13 131
字典表 app_key:客户端名称 app_secret:客户端密码 timestamp:与noncestring配合使用防重刷 noncestring:随机串 type:加密方式 思路 1.客户端 客户端将app_key,app_secret,timestamp,nonocestring与其他请求参数排序后拼接,然后使用加密方式加密后得到签名,再一起发过去服务端 ...
字节小程序/抖音小程序支付功能 tt.pay CD0025/CD0015
qq_38893710的博客
09-25 3778
遇到(CD0025)错误 先检查官方要求必填参数是否都已带上 sign 签名是否正确可用官方提供的校验工具验证(https://pay-doc.toutiao.com/tools/sign)工具如果无法访问请多刷新几次 得到的签名必须是小写的(我就遇到这个坑,官方没说明要求小写,我程序生成出来默认是大写导致一直提示CD0025) 遇到(CD0015)错误 每次调用tt.pay方法(out_order_no)的值不能重复使用 ...
手写签名存为图片传到服务器,适用于wap和电脑端
09-01
本资源包含html、js包、服务器端一套完整的源码。 服务器端用的thinkphp,这里只是个...服务端创建文件夹的代码改为如下: if(!is_dir("./".$img_url)){ mkdir("./".$img_url); } 路径前面加上./ ,这才是网站根目录。
BJCA 数字签名验证服务器白皮书201103.pdf
11-23
数字签名验证服务器部署在业务系统服务端安全域中,配置相互独立的核心服务网络接口和 WEB 管理服务网络接口,分别用于签名验证服务和后台管理服务,可以有效避免外界攻击。DSVS 可以同时为多个 WEB 应用系统提供...
2019超级签名源码 ios分发签名端源码.rar
08-12
【描述】"2019超级签名源码 ios分发签名端源码"表明这是关于2019年时超级签名技术的源代码,用于iOS应用的签名和分发服务端。源代码通常是程序员理解和学习技术细节的重要资源,通过分析源码,可以深入理解超级签名...
android上传文件到服务器(客户端加服务端源码)
12-08
总的来说,Android上传文件到服务器涉及到客户端和服务端的协同工作,包括文件的读取、HTTP请求的构建、服务器接口的设计以及文件的存储。多文件上传只是在单文件上传的基础上进行扩展,需要对每个文件进行同样的...
独家全新2019超级签名源码超级签ios分发签名端本地linux服务器完成签名带部署文档.zip.zip
04-21
【描述】中提到的是该资源包含了一整套的“超级签名”系统,包括了用于在本地Linux服务器上部署的签名服务端和相关的部署文档。"本地Linux服务器"意味着用户需要有一台运行Linux操作系统的服务器来运行和管理这个...
支付宝APP支付服务端加签
游语
04-17 3983
添加支付宝SDK1.5依赖:<!-- https://mvnrepository.com/artifact/com.alipay.sdk/alipay-sdk-java --> <dependency> <groupId>com.alipay.sdk</groupId> <artifactId>alipay-sdk-jav...
客户端和服务端验证签名
专注移动开发
01-09 3862
http://www.crarun.com/article-15.html
Python原生服务端签名生成请求订单信息「orderString」
一亩三分地儿
10-01 1437
接口文档:https://docs.open.alipay.com/204/105465/  一、签名方法示例:「代码中的私钥是随机生成无法使用,做示例用」 def sign(params): sort_param = sorted([(key, unicode(value, 'UTF-8').encode('UTF-8')) for key, value in params.it
苹果APP分发、企业签名、超级签名和TF签名怎么做?
weixin_56564098的博客
04-14 1286
近年来,随着移动互联网的大力发展,人们的社交工具也逐渐从电脑转向了手机,所以市场上,人们的需求增加,各种各样的APP因此出现,但是针对苹果手机APP上架就不是那么简单,所以苹果APP分发、企业签名、超级签名、TF签名得到了迅速的发展,那APP分发、企业签名、超级签名、TF签名到底是怎么做的呢? 一、苹果APP分发是怎么做的? 随着信息技术不断的发展,APP的分发效率也在不断的提高,在APP发展的初期阶段,APP的分发需要开发人员连接多个移动应用平台,多个移动平台也需要宇很多个程序进行连接,相互连接的工作就会
支付宝服务端签名java,支付宝移动接口服务端生成签名串代码
weixin_32081953的博客
03-12 327
1 $ali = array(2 ‘service‘ => ‘mobile.securitypay.pay‘,3 ‘partner‘ => ‘xxxxxxxxxx‘,//4 ‘_input_charset‘ => ‘utf-8‘,5 ‘sign_type‘ => ‘RSA‘,6 ...
支付宝和微信的服务端签名-PHP
小小郭
06-30 703
这两天做了下APP支付接入的服务端签名,记下流水账,总结下。 一.支付流程 简单归纳下主要流程,详细请看微信和支付宝的开发文档 二.资料准备 支付宝 1.登录https://open.alipay.com/platform/manageHome.htm,创建一个应用,设置好自己的私钥和公钥 2.将该应用上线,签约其中的APP支付功能。为了便于测试,将 手机网站支付,电脑网站支...
签名+验签(第三方)
zhenglianghui163的博客
01-15 6674
纸质时代,当写信,或者使用支票的时候,签上自己的名字,就表示这是自己写的,当别人拿到信的时候,如果认识笔迹,或者银行拿到支票后,进行一系列验证,验证这个支票的真伪,前面的操作就是签名,说明是自己写的,后面的检验,就是验签,确认书写者身份。 信息时代,也有这方面的需要。 要确保信息是某人发送的,不让别个知道里面的内容,而且中间没有被修改,同时信息要完整。(信息安全三要素,有效性(Availabi
java服务端使用HTTPS并且部署在同一服务器
03-31
这涉及到将证书文件复制到服务器上,然后在Java服务端的配置文件中指定证书的位置和密码。 3. 配置Java服务端:您需要在Java服务端的配置文件中启用HTTPS,并指定SSL证书的位置和密码。这通常涉及到编辑Tomcat的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值