签名设计+数据加密设计

一 签名设计

1.1签名生成的步骤如下：

1. 参数名ASCII码从小到大排序（字典序）

   1. 案例
      1. buid=12&accoutid=0 —> accoutid=0&buid=12

2. 请求参数使用URL键值对的格式（key1=value1&key2=value2…）拼接成字符串st1

   1. 案例
      1. st1=“accoutid=0&buid=12”;

3. 拼接API密钥st2

   1. 案例
      1. st2=st1+"&key=“商户平台的密钥”

4. 获取签名

   1. 案例
      1. psign=MD5(st2)=“xxxx”

5. 最终发送的数据

   1. 案例
      1. accoutid=0&buid=12&psign=xxxx

1.2最终发送的数据

key1：value1
key2：value2
time：请求的时间戳（毫秒）
psign：xxxx

1.3注意点：

1. 如果参数的值为空不参与签名
2. 参数名ASCII码从小到大排序
3. 参数名区分大小写
4. 用户的请求参数必须带上时间戳，参数名称time

1.4测试工具

在线md5计算：https://oktools.net/hash

1.5操作截图

1. 请求参数：time=1569728170000&userId=1111
2. 参数名ASCII码从小到大排序，拼接API密钥st2，获取签名
   1. 测试的商户平台的密钥：xxxxoooo
      

2 签名加密设计

1. 使用公钥对psign加密
   1. 测试公钥:MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAJWRN/d5SnaLyniXA9XObOYS5wDzfuR1Mw/o010mrMOI2mauWlYHrQyTjffJuWy5K+1YLvdq+6SoW48PnlHpPmECAwEAAQ==

2.1操作截图

3 最终发送的数据

time=1569728170000&userId=1111&psign=F2UyJKhmWS51M0tF5oxetSGVQAZGZ8MeZ3TCp+2LR1kvKW1QBbUe/eBXSb2nYobjXJOROGOGEpk1d0qiMdlFkg==

二 数据加密（涉及加签）设计

客户端

1. 对所有的参数加签psign,具体看签名设计
   1. 数据防篡改
2. 使用公钥对psign加密（非对称加密）
   1. 防止恶意用户破解，获取到签名的key（商户平台的密钥）

服务端

1. 获取psign的hashcode,对比redis服务器中是否存在，存在就不执行,过期时间60分钟
   1. 防止恶意用户，截取到我们的网络请求，做重复提交（间隔时间重复提交）
   2. hashcode: redis的处理速度最快的方式（redis key 设计）
2. 使用私钥对psign解密，解密失败不执行
   1. 获取真正的签名real_psign
3. 使用psign验证防篡改，篡改不执行
   1. 使用请求参数生成签名（按照签名规则）
   2. 对比real_psign签名，看2个签名是否相等
      1. 相等：数据没有篡改
      2. 不相等：数据别篡改了
4. 解析time和服务器当前服务器时间，间隔10分钟以上的不执行
   1. 第二次防止恶意用户，截取到我们的网络请求，做重复提交（间隔60分钟以上重复提交），因为redis保存的缓存，过期时间是60分钟。如果没有做这个处理，恶意用户可以截取网络请求， 间隔60分钟以后做重复提交。

三具体代码实现

https://blog.youkuaiyun.com/zhou920786312/article/details/101691311 私密，不公开