概述
开放平台鉴权方案
-
- 公共参数
-
- 客户端签名
-
- 服务端鉴签
-
- 服务端appId与appSecret生成方式
1.公共参数
| 参数名 | 类型 | 含义 |
|---|---|---|
| appId | string | appId |
| nonce | string | 随机字符串,每次请求重新生成,随机性越大越好,32byte以内,a-zA-Z0-9,例如:d15D792875807b0FEc620f4db2ac1667 |
| timestamp | string | unix时间戳(毫秒级),每次请求重新生成,例如:1533203363618 |
| sig | string | 签名结果,对除sig以外其他参数进行计算的值,每次请求都需重新生成,生成的sig全为小写 |
2.客户端签名过程
- 注:(除post请求的参数都在body体内的区别以外,post与get请求的签名方式相同)
- 筛选参数并排序
获取sig字段以外的所有请求参数原始值(注意:签名阶段不要对参数值做处理,比如不能进行urlencode编码,在请求的过程时可以进行urlencode编码,如传输json时的url编码),并按照第一个字符的键值ASCII码递增排序(字母升序排序),如果遇到相同字符则按照第二个字符的键值ASCII码递增排序,以此类推。
{
appId: 'xxx',
nonce: 'd15D792875807b0FEc620f4db2ac1667',
timestamp: '1533203363618',
...
key: 'value',
...
}
- 将排序后的参数与其对应的值,组合成“参数=参数值”的格式,并把参数用‘&’符号连接起来,此时生成的字符串为待签名字符串,例如字符串名称为paramStr。
appId=xxx&nonce=d15D792875807b0FEc620f4db2ac1667×tamp=1533203363618&...&key=value&...
- 将带签名字符串进行base64编码(注意base64编码的字符集为utf8),例如得到的字符串为base64ParamsStr。
base64ParamsStr = Buffer.from('步骤2所得字符串').toString('base64');
- 使用appSecret作为哈希key,对步骤3获得的base64ParamStr使用HMAC-SHA256算法哈希得到字节数组(注意:不要转成字符串),用伪代码表示为:
sha256Result = crypto.createHmac('sha256', appSecret).update(base64ParamsStr).digest();
- 对得到的sha256Result进行MD5的计算的到32位小写字符串作为sig。
sig = crypto.createHash('md5').update(sha256Result).digest('hex').toLowerCase();
- 将sig拼接在其他请求参数的末尾发送
//url
appId=xxx&...&...&sig=xxx
或
//body
{
appId: 'xxx',
nonce: 'd15D792875807b0FEc620f4db2ac1667',
timestamp: '1533203363618',
...
key: 'value',
...
sig: 'xxx'
}
3.服务端鉴签过程
- 通过appId查找用户的appSecret验证一致性。
- 将前端所传的参数去掉sig参数,进行如客户端签名方式一致的签名,验证客户端所传sig是否一致。
4.服务端生成appId与appSecret生成方式
- appId = appKey = 固定字符串 + useIds
- appSecret = hmac-sha1(userId + 生成appSecret的毫秒级时间戳)
最后
以上就是外向哈密瓜为你收集整理的开放平台签名验签方案开放平台鉴权方案的全部内容,希望文章能够帮你解决开放平台签名验签方案开放平台鉴权方案所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复