关于淘宝奇门接口验签问题

淘宝奇门接口验签实战与解决办法
最新推荐文章于 2022-11-16 16:51:37 发布
原创 最新推荐文章于 2022-11-16 16:51:37 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文档分享了在对接淘宝奇门接口时遇到的验签问题及解决方案。在接口配置过程中,发现本地POST请求加入验签后返回验签失败。问题在于奇门接口验签代码无法正确获取请求的body内容。通过调整验签方法中获取body的方式,成功实现了本地验签。验签注意事项包括:使用正确的编码UTF8,核对密钥,确保输入流未被提前读取,以及避免上层框架对参数的改变。若遇到问题,可提供验签前的字符串给官方协助排查。

最近做了一个奇门接口对接问题。遇到了验签问题,特和大家分享下。

目前的需求是在奇门发布一个接口。本地接口是post请求,参数在body中存储。

奇门的接口配置流程可以参考官方文档如下链接内容:

开放平台-文档中心

奇门官方集成接入说明

开放平台-文档中心

下面说一说我的接口配置大概情况:

例如我本地有一个post请求,带参数的

 当前请求在服务接口没有加入淘宝奇门验签的时候,是正常请求和返回的。

当加入淘宝估计方法验签后,应该是返回验签失败。入下图显示:

 以上的返回格式是奇门接口要求的验签返回错误格式,参考如下的工具类代码格式

/**
* 使用该方法同时请务必要阅读该方法的源码,大致了解该方法的实现。
*
* 如果验签失败则需要返回验签失败的结果,并且需要和配置对应的上,系统才认为是验签成功;
*
* 如果正确的请求老是误认为验签错误了,则确认以下几点:1编码是否UTF82 2密钥是否写错了 3request如果是json,xml类型则(form则忽略)确认inputstream是否被读取过了?如果需要使用body但不想改动麻烦,可以先执行验签,
* 然后在验签结果中获取body(checkResult.getRequestBody()方法)来执行业务逻辑
*
*/
CheckResult result = SpiUtils.checkSign(request, targetAppSecret);? //这里执行验签逻辑
if(!result.isSuccess()) {  //如果验签失败则需要返回 验签失败的结果,并且需要和配置对应的上,系统才认为是验签成功
   HttpSampleResponse httpSampleResponse = new HttpSampleResponse();
   httpSampleResponse.setErrorMessage("Illegal request");
   httpSampleResponse.setErrorCode("sign-check-failure");
   httpSampleResponse.setFlag("failure);
   //return
}

想本地验证验签的成功与否,可以去奇门日志中查找对应的请求记录,找到对应内容放入本地posman中测试本地方法。

通过以上测试发现问题:使用奇门测试工具的转发url(已加签)和报文,在本地无法验证通过。

通过反复尝试,发现只要是本地body带内容的无法通过验签:

主要我现在用测试的posman的body参数值有,但是使用淘宝的验签代码里面的这段看了下获取不到body的内容

String body = WebUtils.getStreamAsString(request.getInputStream(), charset);这个body内容是空的。

我本地的接口代码如下:

    @POST
    @Path("authenticationQMPost")
    @Produces(MediaType.APPLICATION_JSON)
    public String authenticationQMPost(
            String params,
            @Context HttpServletRequest request,
            @Context HttpServletResponse response) {
        //设置响应头编码格式
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json; charset=UTF-8");
        Map<String, Object> resultMap = FastMap.newInstance();
        PrintWriter out = null;
        String resultStr = "";
        try {
            out = response.getWriter();
            request.setCharacterEncoding("utf-8");
            CheckResult result =  QiMenUtils.checkSign(request, targetAppSecret, params);//这里执行验签逻辑
            if (!result.isSuccess()) {  //如果验签失败则需要返回 验签失败的结果,并且需要和配置对应的上,系统才认为是验签成功
                resultStr = authenticationFailure(result.getRequestBody());
            } else {
                if (null == params || "" == params) {
                    resultStr = authenticationSuccess("test post succ,body无内容");
                } else {
                    resultStr = authenticationSuccess("test post succ,body内容:" + params);
                }
            }
        } catch (Exception e) {
            if (Debug.errorOn()) {
                Debug.logError(e, module);
            }
            log.error("", e);
            resultStr = authenticationFailure(e.getMessage());
        }

        out.println(resultStr);
        out.flush();
        out.close();
        return null;
    }

由于我本地的方法的params是可以获取到body的内容,所以确定修改淘宝奇门的验签方法中的获取body的方法。

public static CheckResult checkSign(HttpServletRequest request, String secret, String bodyStr) throws IOException {
        CheckResult result = new CheckResult();
        String ctype = request.getContentType();
        String charset = WebUtils.getResponseCharset(ctype);
        if (null != ctype && !"".equals(ctype)) {
            if (!ctype.startsWith("application/json") && !ctype.startsWith("text/xml") && !ctype.startsWith("application/xml") && !ctype.startsWith("text/plain")) {
                if (!ctype.startsWith("application/x-www-form-urlencoded")) {
                    throw new RuntimeException("Unspported SPI request");
                }

                boolean valid = checkSignInternal(request, (Map) null, (String) null, secret, charset);
                result.setSuccess(valid);
            } else {
                //String body = WebUtils.getStreamAsString(request.getInputStream(), charset);
                boolean valid = checkSignInternal(request, (Map) null, bodyStr, secret, charset);
                result.setSuccess(valid);
                result.setRequestBody(bodyStr);
            }
        }  else {
            //String body = WebUtils.getStreamAsString(request.getInputStream(), charset);
            boolean valid = checkSignInternal(request, (Map) null, bodyStr, secret, charset);
            result.setSuccess(valid);
            result.setRequestBody(bodyStr);
        }

        return result;
    }

通过以上调整,从奇门接口日志中拿到的“转发url参数”和“奇门转发报文” 可以正常通过本地的方法验签。

使用验签注意:

* 使用Sdk的SpiUtils.checkSign来执行验签,同时请务必要阅读该方法的源码,大致了解该方法的实现。
*
* 如果验签失败则需要返回验签失败的结果,并且需要和配置对应的上,系统才认为是验签成功;
*
* 如果正确的请求误认为验签错误了,则确认以下几点:
* 1编码是否UTF8
* 2密钥是否写错了,特别是沙箱和线上密钥别搞错
* 3request如果是json,xml类型(form不用理会)则确认inputstream是否被读取过了?如果需要使用body但不想改动麻烦,可以先执行验签,
* 然后在验签结果中获取body(checkResult.getRequestBody()方法)来执行业务逻辑
* 4上层框架是否有做封装导致参数变更
* 如果名以上几点检查没问题,请提供sdk md5前(SpiUtils 类里的方法 String sign(Map<String, String> params, String body, String secret, String charset)
)的最终字符串给小二协助排查

奇门如何及自研需要授权的接口接入奇门
lxw1844912514的博客
05-16 1532
您好,请检查您的方式是否正确。为了防止接口被人乱掉用,需要在服务端做的逻辑,校请求的合法性。那么,API服务后端如何进行?由于API请求带有targetAppkey,而API服务后端可以通过应用管理拿到对应的appSecret,将奇门云网关生成的名,与自己服务后端代码生成的名进行校,当然TOP API SDK也提供了相关的工具(SpiUtils),需要在执行接口逻辑前完成逻辑。返回报文的返回内容需要和响应失败的格式(参考上文响应失败参数)对应的上,系统要求如下:奇
商家自研OMS奇门对接-SDK踩坑录
葉飞纷飞的博客
07-29 4404
前言:为自家零售行业的公司做OMS系统,需要通过奇门去对接第三方WMS系统。自家有淘宝店,申请商家自研应用还是很好申请的。就当前在做的OMS系统而言,我们要用的奇门接口其实也就3个模块,发货,退换货,取消。介于官方接口那一堆要传的参数,我们还是选择用他们的SDK(.net core版本)。 对于官方SDK,咱还是100%信任的,出问题,首先咱就觉得是自己的问题,加班加点N次轮番测试,绞尽脑汁从自身找问题,快要崩溃的时候,扛不住了。 这里要感谢官方提供了SDK的源码,让我终于找出了问题所在。找到问题的.
阿里奇门对接-自定义接口(服务端)
进步新青年的博客
11-16 5328
其他系统需要通过阿里奇门调用公司自研erp系统的接口进行数据的同步,此时erp系统作为服务端需要在阿里奇门平台上配置对应的api信息。erp接口中除了实现自己的逻辑外还需完成逻辑,否则发布时会提示失败简单的图示如下。
淘宝开放平台top_sign 问题
天堂鸟(积累备忘)
05-26 940
 关于php的top_sign证不一样的问题解决办法   我也是试了很多次都不行,总是不一样!测试环境对了,到了正式环境又不一样了!后来发现top_parameters得到的参数有url码,最后我单独把top_parameters的参数urldecode后再加入运算就OK了! 还有就是 base64_encode(md5(***,true))时候,一定要加红色的那个参数啊!! 转载 h...
php淘宝名,某淘 App 接口 x-sign 名计算
weixin_33218985的博客
03-26 1225
52019-11-07 19:09:47 +08:00JTBBQmFzZSUyMFRhb2JhbyUyMFVybCUyOCV1OEZEOSV1NEUyQSV1NjYyRiV1OEJGNyV1NkM0MiV1NkREOCV1NUI5RCV1NjVGNiV1NzY4NCV1NjU3NCV1NEUyQWh0dHAldTUzNEYldThCQUUldTRGRTEldTYwNkYldUZGMENHRVQlM...
PHP实现API接口
weixin_41981080的博客
04-14 2018
项目需要向外部提供接口,供第三方网站调用,为了保证传输数据的安全性,给项目添加了名认证的机制,过程大致如下: 一、由我们平台给第三方颁发一个appId和一个appSecret,appId用来传输,appSecret用来生成名 二、第三方通过拼接appSecret生成名sign,第三方将数据和appId一起传给我们平台 三、我们平台接收到数据后根据接收到的数据用同样的算法生成名,通过比...
淘宝奇门对接(淘宝订单加密改造)
Hxuening的博客
08-20 1万+
前期准备: 淘宝开放平台api文档地址:开放平台url:https://open.taobao.com/api.htm 1.下载奇门sdk 如下图位置:点击管理 点击sdk下载 选择自己的语言下载即可 下载下来解压 选择第一个 放到项目中 如图 选择不带source的jar包 pom文件 ${project.basedir} 表示当前文件的根节点的下一级 systemPath的值 根据自己的jar文件位置决定 artifactId要和自己导入的jar文件同名 <dependency&g
奇门接口
05-28
好的,我现在需要帮助用户查找关于淘宝奇门接口的文档和使用说明。首先,用户提到了之前的引用内容,其中涉及奇门接口的创建流程、方法以及错误处理示例。这些引用可能来自内部文档或开发指南,但用户现在需要更...
2014年最新淘宝API接口开发文档包含demo
04-21
8. **常见问题**:列出开发者在使用接口时可能遇到的问题及解决方案,有助于快速排查和解决问题。 9. **更新日志**:记录接口的历史版本更新内容,帮助开发者了解新版本的变化。 10. **接口测试**:提供测试环境和...
erp如何通过奇门对接WMS?小白攻略
weixin_42409107的博客
03-13 2万+
一。业务背景:公司需要用菜鸟的仓库(使用其他支持奇门的仓库同理),故而希望能和仓库的wms系统打通,这样我们采购收货,采购入库,销售出库,采购退货,销售退货等多个场景就能和我们的中台(erp)进行数据同步。 二。适用场景:公司非淘erp通过奇门对接WMS。(非淘erp指的是不处理淘系订单,说白了我们不是在淘宝天猫开店铺卖东西,只是用他们的仓库),本文是此场景,如果大家是用淘宝的erp或者商...
淘宝奇门仓储API文档.rar
03-25
奇门白皮书:介绍奇门平台现有对接系统,对接方式,通讯方式,现有对接api详细介绍,多方联调、测试、发布上线项目流程
奇门白皮书
07-12
奇门白皮书 奇门白皮书 奇门白皮书 奇门白皮书 奇门白皮书
阿里奇门对接
12-21
最近公司需要获取淘系店铺订单的用户敏感数据,由于系统之前对接的是旺店通,所以需要调用奇门   大家觉得有用的可以点赞留言,谢谢!!! 1,奇门是什么    这里就不再详细解释了,具体参考:https://open.taobao.com/doc.htm?docId=106847&docType=1 2.  调用流程 A.申请应用    首先登陆https://open.taobao.com/ (最好是主账号), D. 创建完毕后,点击我的场景 E.自测(可以跳过,可以先添加一个api,走完后面的流程,比如上线,然后回来根据实际情况添加其他的api,然后走完后续流程) F.联调(重点)  这
淘宝奇门接口PHP例子
热门推荐
蓝翔顶级电脑技工
11-13 2万+
奇门淘宝的一个 ERP(Enterprise Resource Planning) 和 WMS(Warehouse Management System) 的一个标准中间件接口。实现 ERP —- 奇门 —– WMS 的对接。由于市面上各大小软件公司开发的ERP或WMS数据库设计,接口各不相同。为行业统一接口标准,于是奇门就诞生了。淘宝奇门的白皮书请自行网上搜索。奇门请求body创建类 文件名Qim
速卖通-奇门-官方场景(老)接口自定义接入联调测试
bigbig_bug的博客
05-28 743
速卖通-奇门-官方场景(老)接口自定义接入 流程官方文档上都写的很清楚,只是在测试联调时有部分问题并未标明,现在记录下联调的过程
C#.NET XML报文名与
weixin_30537451的博客
04-19 569
-- MD5Util: using System; using System.Collections.Generic; using System.Security.Cryptography; using System.Text; namespace dotNetRsa客户端 { public class MD5Util { /// &...
淘宝R2去模糊化+聚石塔+奇门
记录学习生活的点滴(Linux运维、java)
09-25 4817
淘宝api订单直连 R2级数据必须经过聚石塔奇门输出:大部分是按照网上速卖通方式配置的 下面的截取信息 一 服务器: 聚石塔 1.1首先是聚石塔的购买,此处需要说明聚石塔就是服务器,只是换了名字 根据需求选择相应配置购买就可以了 1.2 聚石塔购买成功后会跳转到下图所示页面 点击实例管理,就会进入如下图所示页面 要选择张家口的 +专用网络+外网ip 1.3 接下来...
U9与淘宝奇门
blankline的博客
04-07 2586
一.u9部分 1.编写U9服务 比如发货单创建等等业务。 里面的业务编写要按照下面的套路来比较省力。 2.申请到阿里开发者账号,选择商家后台应用开发,获得appkey,下载c#的sdk,然后生成,直接拷贝到项目下面 2.对sdk做进一步的改进 增加上面的[XmlElement("...")],后面我要用一中方法序列化它,把它变成符合奇门格式的xml。做法是把第一个大写的
.net奇门对接
最新发布
06-15
### 奇门对接实现方法 在 .NET 环境中进行奇门对接的操作,需要特别注意返回的 `ContentType` 以及 SDK 的限制。根据提供的代码片段和描述,以下是对实现方法的详细说明。 #### 1. 逻辑分析 奇门测试环境返回的 `ContentType` 为 `application/xml`,而 SDK 的方法中对 `ContentType` 进行了严格的判断[^1]。如果返回的 `ContentType` 不符合预设值(如 `application/json`、`text/xml` 或 `text/plain`),则会抛出异常 `Unspported SPI request`。因此,在实现时,需要确保请求的 `ContentType` 被正确处理。 #### 2. 方法实现 以下是基于 .NET 的方法实现: ```csharp using System; using System.Net; using System.Text; public class SpiSignChecker { public static CheckResult CheckSign(HttpRequest request, string secret) { CheckResult result = new CheckResult(); string ctype = request.ContentType; if (ctype.StartsWith("application/json") || ctype.StartsWith("text/xml") || ctype.StartsWith("text/plain")) { // 获取请求体内容并进行内部校 result.Body = GetStreamAsString(request, GetRequestCharset(ctype)); result.Success = CheckSignInternal(request, result.Body, secret); } else if (ctype.StartsWith("multipart/form-data")) { // 处理 form-data 类型请求 result.Success = CheckSignInternal(request, null, secret); } else { throw new Exception("Unsupported SPI request"); } return result; } private static bool CheckSignInternal(HttpRequest request, string body, string secret) { // 实现具体的证逻辑 string signature = request.Headers["Signature"]; string expectedSignature = GenerateSignature(body, secret); return signature == expectedSignature; } private static string GenerateSignature(string body, string secret) { // 根据业务规则生成名 using (var sha256 = System.Security.Cryptography.SHA256.Create()) { byte[] bytes = Encoding.UTF8.GetBytes(body + secret); byte[] hashBytes = sha256.ComputeHash(bytes); return BitConverter.ToString(hashBytes).Replace("-", "").ToLower(); } } private static string GetStreamAsString(HttpRequest request, string charset) { // 将请求体转换为字符串 using (var reader = new System.IO.StreamReader(request.InputStream, Encoding.GetEncoding(charset))) { return reader.ReadToEnd(); } } private static string GetRequestCharset(string contentType) { // 提取 Content-Type 中的字符集 if (string.IsNullOrEmpty(contentType)) return "UTF-8"; var parts = contentType.Split(';'); foreach (var part in parts) { if (part.Trim().StartsWith("charset", StringComparison.OrdinalIgnoreCase)) { var charsetParts = part.Split('='); if (charsetParts.Length == 2) return charsetParts[1].Trim(); } } return "UTF-8"; } } public class CheckResult { public bool Success { get; set; } public string Body { get; set; } } ``` #### 3. 注意事项 - **ContentType 处理**:如果奇门测试环境返回的 `ContentType` 为 `application/xml`,需要在 SDK 中扩展支持该类型,或者通过修改请求头的方式将 `ContentType` 设置为支持的类型。 - **名算法**:名生成逻辑需与奇门平台保持一致,通常使用 HMAC-SHA256 或类似的算法[^1]。 - **沙箱环境**:在开发阶段可以使用平台提供的沙箱 `APP Key` 和 `Secret` 进行测试[^2]。 #### 4. 测试建议 在完成实现后,可以通过以下步骤进行测试: - 使用不同的 `ContentType` 测试方法的兼容性。 - 名生成逻辑是否与奇门平台一致。 - 在沙箱环境中模拟真实的接口调用场景。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值