签名验证
相关信息
如果验证客户端的请求签名正确,VMP 会在应答的HTTP头部中包括应答签名。我们建议客户端验证应答签名。
同样的,在回调请求的场景中,VMP 会在回调参数中包括签名。客户端必须验证回调的签名,以确保回调是由 VMP 发送。
开发人员可以按照下述步骤验证应答或者回调的签名。
构造签名串
假设应答或者回调的参数
originalParam = {
"p0": "c",
"p2": "b",
"p1": "a",
"sign": "ed473ec9e423747a40b87403aa9814030861932d514dab000ed1f8a741f1d6df"
}
假设 secret_code
testsignkey1234
第一步,sign 参数除外,按照参数名ASCII字典序排序。
排序前
{
"p0": "c",
"p2": "b",
"p1": "a"
}
排序后
{
"p0": "c",
"p1": "a",
"p2": "b"
}
第二步,对参数按照key=value的格式,使用 & 符号连接生成字符串。
p0=c&p1=a&p2=b
第三步,secret_code 不用 & 符号连接,拼接在上一步生成的字符串开头组成签名串。
testsignkey1234p0=c&p1=a&p2=b
计算签名值
对签名串进行sha-256签名得到签名值,编码格式UTF-8。
signCode = sha256('testsignkey1234p0=c&p1=a&p2=b', 'UTF-8');
签名结果
ed473ec9e423747a40b87403aa9814030861932d514dab000ed1f8a741f1d6df
验证签名结果
把签名结果和原始参数中的签名值进行对比,判断是否相同。
signCode === originalParam.sign;
演示代码
import net.sf.json.JSONObject;
import org.junit.Assert;
import org.junit.Test;
import java.io.UnsupportedEncodingException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.*;
public class SignTest {
@Test
public void verifySign() throws Exception {
JSONObject responseBody = new JSONObject();
responseBody.put("p0", "c");
responseBody.put("p2", "b");
responseBody.put("p1", "a");
responseBody.put("sign", "ed473ec9e423747a40b87403aa9814030861932d514dab000ed1f8a741f1d6df");
String secretCode = "testsignkey1234";
String paramSign = (String) responseBody.remove("sign");
String asciiLinkString = createAsciiLinkString(responseBody);
System.out.println(asciiLinkString);
String signTempString = secretCode + asciiLinkString;
System.out.println(signTempString);
String signCode = sha256(signTempString, "UTF-8");
System.out.println(signCode);
Assert.assertEquals(paramSign, signCode);
}
private String createAsciiLinkString(JSONObject params) {
List<String> keys = new ArrayList();
keys.addAll(params.keySet());
Collections.sort(keys);
StringBuffer stringBuffer = new StringBuffer();
for (int i = 0; i < keys.size(); i++) {
stringBuffer.append(keys.get(i)).append("=").append(params.get(keys.get(i)));
if (i != keys.size() - 1) {
stringBuffer.append("&");
}
}
return stringBuffer.toString();
}
private String sha256(String signTempString, String charset)
throws UnsupportedEncodingException, NoSuchAlgorithmException {
byte[] bt = signTempString.getBytes(charset);
MessageDigest md = MessageDigest.getInstance("SHA-256");
md.update(bt);
byte[] r = md.digest();
return bytes2Hex(r);
}
private String bytes2Hex(byte[] bts) {
String des = "";
for (int i = 0; i < bts.length; i++) {
String tmp = (Integer.toHexString(bts[i] & 0xFF));
if (tmp.length() == 1) {
des += "0";
}
des += tmp;
}
return des;
}
}