原文地址:

http://www.cnblogs.com/hnsongbiao/p/5478645.html

写的很好,就做个笔记了。感谢作者!

项目中常用的API接口签名验证方法:

1. 给app分配对应的key、secret
2. Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下:
   a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue  字符串如:将arong=1,mrong=2,crong=3 排序为:arong=1, crong=3,mrong=2  然后将参数名和参数值进行拼接得到参数字符串:arong1crong3mrong2;
  b. 将secret加在参数字符串的头部后进行MD5加密 ,加密后的字符串需大写。即得到签名Sign;

大致处理过程

// 用户验证、判断key是否存在,同时查询出对应的secret用于验证;

....

// 验证签名,根据算法将参数进行签名得到sign与参数中的sign进行对比;

....

// 插叙数据获取列表

如下图

app调用:http://api.test.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&参数1=value1&参数2=value2.......
注:secret 仅作加密使用, 为了保证数据安全请不要在请求参数中使用。

请求的唯一性: 为了防止别人重复使用请求参数问题,我们需要保证请求的唯一性,就是对应请求只能使用一次,这样就算别人拿走了请求的完整链接也是无效的。
唯一性的实现:在如上的请求参数中,我们加入时间戳 :timestamp(yyyyMMddHHmmss),同样,时间戳作为请求参数之一,也加入sign算法中进行加密。

下面提供2个签名验证的方法:时间戳注意加入及验证的处理

1、OpenId签名及验证

        /// <summary>         /// 生成Code         /// </summary>         /// <param name="openid">openid</param>         /// <param name="key">向谁跳传谁规定的key</param>         /// <returns></returns>         public static string MakeCode(string openid, string key)         {             DateTime time = DateTime.Now;             string data = time.ToString("dd") + "_" + openid + "_" + time.ToString("yyyy") + "_" + key + "_" + time.ToString("MM");             MD5 md5 = new MD5CryptoServiceProvider();             byte[] result = Encoding.Default.GetBytes(data);             byte[] output = md5.ComputeHash(result);             data = BitConverter.ToString(output).Replace("-", "").ToLower();             SHA1CryptoServiceProvider sha1 = new SHA1CryptoServiceProvider();             byte[] bytes = sha1.ComputeHash(Encoding.ASCII.GetBytes(data));//"596d42faf5710b35c7ea0f0a9600ee31"  F69D39E1CA07FC23C1CE62F549E9D5B9780             //转16进制 清除前面0             StringBuilder strB = new StringBuilder();             for (int i = ; i < bytes.Length; i++)             {                 string strX2 = bytes[i].ToString("X2");                 if (strX2.Substring(, ) == "")                 {                     strX2 = strX2.Substring(, );                 }                 strB.Append(strX2);             }             return strB.ToString();         }         /// <summary>         /// Code验证         /// </summary>         /// <param name="openid">openid</param>         /// <param name="code">待验证的数据</param>         /// <param name="key">自己系统规定的key</param>         /// <returns></returns>         public static bool ValidateCode(string openid, string code, string key)         {             string signedData = MakeCode(openid, key);             return code.Equals(signedData, StringComparison.OrdinalIgnoreCase);         }

2、请求参数签名及验证

        /// <summary>         /// 给请求签名         /// </summary>         /// <param name="parameters">所有字符型的请求参数</param>         /// <param name="secret">签名密钥</param>         /// <param name="qhs">是否前后都加密进行签名</param>         /// <returns></returns>         public string SignRequest(IDictionary<string, string> parameters, string secret, bool qhs)         {             // 第一步:把字典按Key的字母顺序排序             IDictionary<string, string> sortedParams = new SortedDictionary<string, string>(parameters);             IEnumerator<KeyValuePair<string, string>> dem = sortedParams.GetEnumerator();             // 第二步:把所有参数名和参数值串在一起             StringBuilder query = new StringBuilder(secret);             while (dem.MoveNext())             {                 string key = dem.Current.Key;                 string value = dem.Current.Value;                 if (!string.IsNullOrWhiteSpace(key))//!string.IsNullOrWhiteSpace(value) 空值也加入计算??                 {                     query.Append(key).Append(value);                 }             }             if (qhs)             {                 query.Append(secret);             }             // 第三部:使用md5运算             MD5 md5 = MD5.Create();             byte[] bytes = md5.ComputeHash(Encoding.UTF8.GetBytes(query.ToString()));             // 第四部:把二进制转为大写的十六进制             StringBuilder result = new StringBuilder();             for (int i = ; i < bytes.Length; i++)             {                 result.Append(bytes[i].ToString("X2"));             }             return result.ToString();         }          /// <summary>         /// 验证签名         /// </summary>         /// <returns></returns>         public bool ValidateSign(string secret)         {             string method = HttpContext.Current.Request.HttpMethod;             System.Collections.Specialized.NameValueCollection form = HttpContext.Current.Request.QueryString;             switch (method)             {                 case "POST":                     form = HttpContext.Current.Request.Form;                     break;                 case "GET":                     form = HttpContext.Current.Request.QueryString;                     break;                 default:                     return false;             }             IDictionary<string, string> parameters = new Dictionary<string, string>();             string sign = string.Empty;             for (int i = ; i < form.Count; i++)             {                 string key = form.Keys[i];                 if (string.Equals(key,"sign",StringComparison.OrdinalIgnoreCase))                 {                      sign = form["sign"];                     continue;                 }                 parameters.Add(key,form[key]);             }             return string.Equals(SignRequest(parameters, secret, false), sign,StringComparison.OrdinalIgnoreCase);         }

转载-常用API接口签名验证参考的更多相关文章

  1. 常用API接口签名验证参考

    项目中常用的API接口签名验证方法: 1. 给app分配对应的key.secret2. Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下: a. 按照请求参数名称将所有请求参数按照 ...

  2. 常用API接口汇总

    下面列举了100多个国内常用API接口,并按照 笔记.出行.词典.电商.地图.电影.即时通讯.开发者网站.快递查询.旅游.社交.视频.天气.团队协作.图片与图像处理.外卖.消息推送.音乐.云.语义识别 ...

  3. 常用API接口

    引用  常用API接口汇总

  4. API接口签名验证2

    http://www.jianshu.com/p/d47da77b6419 系统从外部获取数据时,通常采用API接口调用的方式来实现.请求方和�接口提供方之间的通信过程,有这几个问题需要考虑: 1.请 ...

  5. 开放api接口签名验证

    不要急,源代码分享在最底部,先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候, ...

  6. api接口签名验证(MD5)

    不要急,源代码分享在最底部,先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候, ...

  7. 【转】开放api接口签名验证

    不要急,源代码分享在最底部,先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候, ...

  8. springcloud提供开放api接口签名验证

    一.MD5参数签名的方式 我们对api查询产品接口进行优化: 1.给app分配对应的key.secret 2.Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下: a. 按照请求参数 ...

  9. html5视频常用API接口

    一.虽然有的属性是boolean类型,但仍旧建议按照XHTML书写(属性名=”属性值”)格式,避免出现错误 (下面加粗的属性为常用属性) 属性 值 功能描述 controls controls 是否显 ...

随机推荐

  1. Android布局属性详解剖析

    View的布局显示方式有下面几种: 线性布局(LinearLayout) 相对布局(RelativeLayout) 表格布局(TableLayout) 网格视图(GridView) 标签布局(TabL ...

  2. Java虚拟机内存区域堆(heap)的管理

    在上一节中Java 出现内存溢出的定位以及解决方案 中对于Java虚拟机栈以及方法区的内存出现的异常以及处理方式进行了解析,由于Java虚拟机对于堆的管理十分复杂,并且Java虚拟机中最基本的内存区域 ...

  3. linux怎么给一个普通用户reboot权限?

    分四种情况讨论:1.让任何人(包括根本不拥有系统帐号的人)都可以通过控制台reboot在/etc/inittab文件中保留ca::ctrlaltdel:/sbin/shutdown -t3 -r no ...

  4. 我的Android进阶之旅------>Android 设置默认语言、默认时区

    1. 设置默认时区 PRODUCT_PROPERTY_OVERRIDES += \ persist.sys.timezone=Asia/Shanghai\ 注:搜索“persist.sys.timez ...

  5. xheditor编辑器上传截图图片抓取远程图片代码

    xheditor是一款很不错的开源编辑器,用起来很方便也很强大. 分享一个xheditor直接上传截图的问题解决方法. 第一步.设置参数 localUrlTest:/^https?:\/\/[^\/] ...

  6. Html.RenderPartial与Html.RenderAction区别(转)

    Html.RenderPartial与Html.RenderAction这两个方法都是用来在界面上嵌入用户控件的. Html.RenderPartial是直接将用户控件嵌入到界面上: <%Htm ...

  7. mssql SUBSTRING和charindex的用法

    在工作中用到的例子: select * FROM [CSGDC.DataETLDB].[dbo].[StrategiesList] where strategy_name like '%基建系统%' ...

  8. Css Div半透明

    用CSS控制外层DIV不透明,而内层DIV透明,这样实现的效果是意想不到的,还不错吧,其实代码也是很简单的,也很好理解,主要是用了CSS的滤镜. <html xmlns="http:/ ...

  9. Knockoutjs官网翻译系列(四) computed中依赖追踪是如何工作的

    初学者无需了解这些 ,但是很多高级程序员想知道我们为什么可以保持跟踪这些依赖以及可以正确的更新到UI中.它其实很简单.跟踪算法是这样的: 无论何时你定义了一个computed observable,K ...

  10. Eclipse导入JavaWeb项目报错:The superclass "javax.servlet.http.HttpServlet" was not found on the Java Build Path

    JavaWeb项目中写的JSP页面需要Web容器解析处理成HTML才能展示到前端浏览器,解析JSP需要Web容器.JSP页面顶端出现“红色”的报错信息:The superclass "jav ...