Android接口签名规则,签名规则

最新推荐文章于 2023-11-17 20:34:35 发布
最新推荐文章于 2023-11-17 20:34:35 发布
阅读量260 收藏
点赞数
文章标签: Android接口签名规则

签名规则

API 调用签名规则¶

本文档中所有请求融云服务端 API 接口的请求均使用此规则校验,以下不再重复说明。

每次请求 API 接口时,均需要提供 4 个 HTTP Request Header,具体如下:

名称

类型

说明

RC-App-Key

String

开发者平台分配的 App Key。

RC-Nonce

String

随机数,无长度限制。

RC-Timestamp

String

时间戳,从 1970 年 1 月 1 日 0 点 0 分 0 秒开始到当前时间(北京时间)的毫秒数。(请严格参照此执行,服务器端会校验此信息)

RC-Signature

String

数据签名。

RC-Signature (数据签名)计算方法:将系统分配的 App Secret、RC-Nonce (随机数)、RC-Timestamp (时间戳)三个字符串按先后顺序拼接成一个字符串并进行 SHA1 哈希计算。如果调用的数据签名验证失败,接口调用会返回 HTTP 状态码 401。其他状态码请参见状态码表。

签名生成代码示例¶

PHP 语言的代码示例:

// 重置随机数种子。

srand((double)microtime()*1000000);

$appSecret = 'Y1W2MeFwwwRxa0'; // 开发者平台分配的 App Secret。

$nonce = rand(); // 获取随机数。

$timestamp = time()*1000; // 获取时间戳(毫秒)。

$signature = sha1($appSecret.$nonce.$timestamp);

HTTP 请求示例:

POST /user/getToken.json HTTP/1.1

Host: api.cn.ronghub.com

RC-App-Key: uwd1c0sxdlx2

RC-Nonce: 14314

RC-Timestamp: 1408710653491

RC-Signature: 890b422b75c1c5cb706e4f7921df1d94e69c17f4

Content-Type: application/x-www-form-urlencoded

Content-Length: 78

userId=jlk456j5&name=Ironman&portraitUri=http%3A%2F%2Fabc.com%2Fmyportrait.jpg

API 接收签名规则¶

融云服务器向应用服务器推送数据(调用应用服务器接口)时会添加 3 个 GET 请求参数(在 URL 上添加的参数),具体如下:

名称

类型

说明

rc-nonce

String

随机数,无长度限制。

rc-timestamp

String

时间戳,从1970年1月1日0点0分0秒开始到现在的秒数。

rc-signature

String

数据签名。

RC-Signature (数据签名)计算方法:将系统分配的 App Secret、RC-Nonce (随机数)、RC-Timestamp (时间戳)三个字符串按先后顺序拼接成一个字符串并进行 SHA1 哈希计算。

签名校验代码示例¶

PHP 语言的代码示例:

$appSecret = 'Y1W2MeFwwwRxa0'; // 开发者平台分配的 App Secret。

$nonce = $_GET['rc-nonce']; // 获取随机数。

$timestamp = $_GET['rc-timestamp']; // 获取时间戳。

$signature = $_GET['rc-signature']; // 获取数据签名。

$local_signature = sha1($appSecret.$nonce.$timestamp); // 生成本地签名。

if(strcmp($signature, $local_signature)===0){

// TODO: 此处添加业务逻辑。

echo 'OK';

} else {

echo 'Error';

}

优创品牌营销
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全架构-api接口签名防止数据篡改
ctotalk
12-21 9303
安全架构-api接口签名防止数据篡改 本篇为安全架构中api接口通信安全相关的内容,之前介绍了业务安全,如幂等性设计,不熟悉的朋友可以看下幂等性设计的文章。 文章目录安全架构-api接口签名防止数据篡改前言一、什么是接口签名?二、接口签名作用三、常用做法1.签名算法2.签名算法变种3.微信支付签名算法4.支付宝支付签名算法总结 前言 api接口通讯是当前软件架构中使用非常广泛的方式,分布式架构,微服务架构,Restful接口;内部系统之间接口,第三方系统调用的接口;提供给第三方的接口等方面,都会用到
安卓签名机制浅析
WHHGARSKY的博客
04-15 793
提纲 初步了解:是什么,为什么需要,有什么好处,怎么加密和验证,怎么使用,要点补充 签名方案:v1,v2,v3签名及校验流程,版本缺陷 初步了解Android签名机制 Android应用程序的签名(是什么) - 在Android 系统中,所有安装到系统的应用程序都必有一个数字证书,要求每一个安装进系统的应用程序都是经过数字证书签名的,此数字证书用于标识应用程序的...
对外开放接口签名认证方案
最新发布
天行健,君子以自强不息;地势坤,君子以厚德载物。
11-17 310
1、场景由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。2、接口防御措施请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改3、签名认证逻辑3.1、服务端生成一对 accessKey/secretKey密钥对,将 accessKey公开给客户端,将 secretKey 保密。3.2、客户端使用 secretKey和一些请求参...
Android开发 - Retrofit 2 使用自签名的HTTPS证书进行API请求
weixin_34401479的博客
10-19 197
为了确保数据传输的安全,现在越来越多的应用使用Https的方式来进行数据传输,使用https有很多有点,比如: HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。 HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。 但是即使使用HTTPS有很多有点...
Android请求头带字符编码,Android网络请求-sign参数的设置方式
weixin_35143455的博客
05-25 403
最近做项目,碰着一个奇怪的请求,后台说在调用接口之前需要验证签名和有效时间,当场就懵逼了,要生成一个sign签名,下面来说说怎么做首先说说大致思路: sign 的生成:按照规则来是键值对的形式(key=value),拼接的时候按照key=value&key=value(注意:key:后台所需的参数名,value:前台所获取到的值)&time=系统所获取的时间&salt = ...
Android-Android客户端网络请求签名认证
08-13
Android应用开发中,网络请求签名认证是一种常见的安全机制,主要目的是防止数据被篡改、保证请求来源的合法性以及提供身份验证。微信签名规范在业界被广泛应用,它为Android客户端与服务器之间的通信提供了可靠的...
Android代码混淆及签名.doc
10-12
Android代码混淆和签名是开发Android应用时两个关键的安全和发布步骤。混淆主要是为了保护应用程序的源代码不被轻易反编译和理解,而...正确配置混淆规则和妥善保管签名文件是每个Android开发者需要注意的重要事项。
打包签名混淆
06-09
Android应用开发中,"打包签名混淆"是一个关键步骤,它涉及到应用的发布、安全性和优化。这个过程包括了APK的打包、签名以及代码混淆,每个环节都有其独特的意义和作用。 首先,我们来理解打包(Packaging)。在...
微信V3统一下单android端本地签名
07-08
微信V3统一下单在...总结,微信V3统一下单Android端本地签名是保障交易安全的重要手段,开发者需要理解其工作原理,遵循微信支付的签名规则,并在Android应用中正确实现签名逻辑,确保整个支付流程的安全、可靠。
Android xUtils更新到3.0后的基本使用规则详解
01-20
Android xUtils 3.0 基本使用规则详解】 xUtils 是一个强大的 Android 开发框架,它集成了多种实用工具,包括文件上传、HTTP 请求、ORM 模型以及事件处理等。在3.0 版本中,xUtils 进行了大幅度的重构,虽然依然...
Android学习笔记——Android 签名机制详解
weixin_43301424的博客
08-19 3970
Android 签名机制所涉及的内容进行一个系统梳理
android 常用api 接口签名验证
u013296766的博客
12-15 2707
android 常用api 接口签名验证
Android 中文api,Debug签名证书过期(Expiry of the Debug Certificate)
左耳的专栏
05-10 2790
在debug模式下,key值得有效期为365天,如果过期了,那么编译会出错。 为了处理这个问题,你可以删除debug.keystore这个文件。它的位置在: (1)  OS X/Linux: ~/.android/  (2)   WindowsXP:C:\Documents and Settings\\.android\  (3)  Windows Vista and Window
接口签名认证思路
super桐的博客
09-19 3346
列子: 登陆接口 一、调用接口方 需要给接口传  两个 参数 1、签名认证:  sign 签名认证->  将html接过来的的数组进行排序 然后 转换成json串,将json串MD5加密 拼接上 接口端下发的app_keys  再次进行MD5加密!!! 2、用户登陆信息:  data 就是用户登陆的信息 和 app_id 二、接口
Android网络请求-sign参数的设置
wuyuxiang_627的博客
12-13 2817
1、调接口之前先验证签名和有效时间 (所有接口都必须验证签名和有效时间) 参数 : time 当前时间戳 sign 签名 注:sign生成 (规则按传递参数键值排序,key=value&key=value&time=时间戳&salt=fangzhou,在进行 urlencode编码,MD5加密,全转换为小写)
app开放接口签名设计与实现
李秀才的博客
10-21 5900
只要接口暴露在外网,就避免不了安全问题。如果让接口裸奔,其他人只要知道接口地址和参数就可以调用,那简直就是灾难。试想有一个发送注册验证码的接口,如果仅仅知道接口地址和参数(手机号)就可以调用,那短信接口早被人盗刷不知道多少了。 理想情况下,我们只希望我们的接口被我们自己的客户端去调用, 那么问题来了,我们如何验证调用者身份呢,如何防止参数被篡改呢?如何防止别人盗刷我们的接口来攻击我们呢? 常见的做法就是给接口签名。 原理是:每次请求的时候根据请求的参数加上时间戳,根据约定好的规则和秘钥生成一个签名
Android签名与校验过程详解
~山之歌~
11-30 1万+
目 录  一、签名与校验原理概要    2 1、数字签名简介    2 2、CMS简介    2 二、signapk工具签名过程    4 三、OTA校验过程    6    Android签名与校验过程详解 一、签名与校验原理概要 1、数字签名简介 在日常生活中,签名通常被做为个人身份的凭证。当一份文件上有某个人的签名时,便相信此份文件确实由此
App开放接口api安全性—Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
App开放接口API安全性—Token签名sign的设计与实现
new03的专栏
07-23 2064
在app开放接口API的设计中,避免不了的就是安全性问题。   一、https协议 对于一些敏感的API接口,需要使用https协议。 https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。   二、签名设计 原理:用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证完后给客户端返回一个Token令牌,用户再次获取信息时,带上此令牌,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值