簽名驗證
相關信息
如果驗證客戶端的請求簽名正確,VMP 會在應答的HTTP頭部中包括應答簽名。我們建議客戶端驗證應答簽名。
同樣的,在回調請求的場景中,VMP 會在回調參數中包括簽名。客戶端必須驗證回調的簽名,以確保回調是由 VMP 發送。
開發人員可以按照下述步驟驗證應答或者回調的簽名。
構造簽名串
假設應答或者回調的參數
originalParam = {
"p0": "c",
"p2": "b",
"p1": "a",
"sign": "ed473ec9e423747a40b87403aa9814030861932d514dab000ed1f8a741f1d6df"
}
假設 secret_code
testsignkey1234
第一步,sign 參數除外,按照參數名ASCII字典序排序。
排序前
{
"p0": "c",
"p2": "b",
"p1": "a"
}
排序後
{
"p0": "c",
"p1": "a",
"p2": "b"
}
第二步,對參數按照key=value的格式,使用 & 符號連接生成字符串。
p0=c&p1=a&p2=b
第三步,secret_code 不用 & 符號連接,拼接在上一步生成的字符串開頭組成簽名串。
testsignkey1234p0=c&p1=a&p2=b
計算簽名值
對簽名串進行sha-256簽名得到簽名值,編碼格式UTF-8。
signCode = sha256('testsignkey1234p0=c&p1=a&p2=b', 'UTF-8');
簽名結果
ed473ec9e423747a40b87403aa9814030861932d514dab000ed1f8a741f1d6df
驗證簽名結果
把簽名結果和原始參數中的簽名值進行對比,判斷是否相同。
signCode === originalParam.sign;
演示代碼
import net.sf.json.JSONObject;
import org.junit.Assert;
import org.junit.Test;
import java.io.UnsupportedEncodingException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.*;
public class SignTest {
@Test
public void verifySign() throws Exception {
JSONObject responseBody = new JSONObject();
responseBody.put("p0", "c");
responseBody.put("p2", "b");
responseBody.put("p1", "a");
responseBody.put("sign", "ed473ec9e423747a40b87403aa9814030861932d514dab000ed1f8a741f1d6df");
String secretCode = "testsignkey1234";
String paramSign = (String) responseBody.remove("sign");
String asciiLinkString = createAsciiLinkString(responseBody);
System.out.println(asciiLinkString);
String signTempString = secretCode + asciiLinkString;
System.out.println(signTempString);
String signCode = sha256(signTempString, "UTF-8");
System.out.println(signCode);
Assert.assertEquals(paramSign, signCode);
}
private String createAsciiLinkString(JSONObject params) {
List<String> keys = new ArrayList();
keys.addAll(params.keySet());
Collections.sort(keys);
StringBuffer stringBuffer = new StringBuffer();
for (int i = 0; i < keys.size(); i++) {
stringBuffer.append(keys.get(i)).append("=").append(params.get(keys.get(i)));
if (i != keys.size() - 1) {
stringBuffer.append("&");
}
}
return stringBuffer.toString();
}
private String sha256(String signTempString, String charset)
throws UnsupportedEncodingException, NoSuchAlgorithmException {
byte[] bt = signTempString.getBytes(charset);
MessageDigest md = MessageDigest.getInstance("SHA-256");
md.update(bt);
byte[] r = md.digest();
return bytes2Hex(r);
}
private String bytes2Hex(byte[] bts) {
String des = "";
for (int i = 0; i < bts.length; i++) {
String tmp = (Integer.toHexString(bts[i] & 0xFF));
if (tmp.length() == 1) {
des += "0";
}
des += tmp;
}
return des;
}
}