沉于思考,默默学习!

你不能预知明天,但你可以利用今天。你不能样样顺利,但你可以事事尽力!

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

做电子商务网站,少不了接入支付。做开发同学知道,支付需要调试很多项,比较耗费时间,又有些挑战性的就是它的支付签名验证了。 首先,我们看一下接口数字签名是怎么回事。

 

一、接口数字签名

甲方是:服务提供商,开方一个接口。getuserinfo.php ,接收:coid(乙方的标示) username(用户名) 调用接口,返回用户信息,这里只以二个字段说明。

 

乙方是:服务接口调用商,通过应用程序,调用甲方getuserinfo.php 接口。

 

问题:甲方的接口是在互联网上面,对于所有公众都是可以访问的。但是他需要控制,访问接口用户是它授权的用户。

解决方案是:甲方加入一个签名字段,乙方调用时候必须将该字段传入。甲乙双方,通过一个私自定义的字串(私钥),加入到签名中。以上字段将变成:

 

getuserinfo.php接口接收参数
参数 说明
coid 字符型,乙方的编号
username 字符串,需要查询用户信息
sign

数字签名,它的值是:

md5(coid+username+key)

  甲乙双方私钥key是:asdf@#%#%#%

 

这种,就是互联网上面,常见的接口的数字签名 实例。 coid,username任意改变,sign结果就会改变。甲方通过验证这个sign就能判断。数据是否是乙方传入的。因为:私钥key 是除了他们知道,不会让第3方获得。 这样就保证了接口安全。

二、md5签名中问题(中文验证不通过)

问题:

当coid,username都为字符串时候,双方签名都调试通过,后来发现username 为中文了,签名不能通过。

这个问题是怎么样产生的呢?可能有的朋友,会跟对方进行操作,都用某个中文进行md5运算,发现得到结果不一致?

如是得出结果是:我们两个md5函数不标准,或者是不同语言下,md5函数计算结果不一样。 呵呵,这个结论得出后,就认为签名不能通过了。 于是乎,有个同学,在自己电脑里面安装几个程序,进行md5中文签名,发现得到结果一样。

分析,继续思考……

结果:发现这几个程序所使用编码都一致,所以中文签名结果一样的。

终于发现问题了:签名不一致是由于程序的字符编码不一致原因。 如果大家看了:web 程序乱码深入分析【基础原理篇】--php为例 可能就知道该怎么做了。 这里我先说明下签名函数md5是怎么样处理的。

md5函数:以传入字节码为内容进行签名验证。因此,需要签名结果一致,只需要传入参数字节码是相同的,那么md5签名结果就相同。

 

相同汉字不同字节码:

以下以汉字“中”为例:

gb2312 字节码是:D6D0

utf-8    字节码是:E4B8AD

在2个程序里面,默认字符集不同,看是都是相同中文,md5结果自然就不同了。

三、web通讯中签名怎么样做?

还是以上面为例:

甲方:程序是utf-8编码

乙方:程序是gb2312编码

image

通过流程我们很轻易知道,做sign验证时候,甲方在获得变量时候就进行,如:

乙方代码:(test.php 保存时保存为:gb2312编码或ansi或gbk)

<?php
header("Content-type:text/html;charset=gb2312");
$key="asdf@#%#%#%";
$sign=md5("chengmo"."中".$key);
?>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>测试</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
</head>
<body>
<form action="test2.php">
合作:<input name="coid" value="chengmo" readonly/>
用户名:<input name="username" value="中" readonly/>
sign:<input name="sign" value="<? echo $sign?>"/>
<input type="submit"/>
</form>
</body>
</html>

甲方代码:(test2.php保存时候选择:utf-8)

<?php
header("Content-type:text/html;charset=utf-8");

$key="asdf@#%#%#%";
$coid=isset($_REQUEST['coid'])?trim($_REQUEST['coid']):"";
$username=isset($_REQUEST['username'])?trim($_REQUEST['username']):"";
$sign=isset($_REQUEST['sign'])?trim($_REQUEST['sign']):"";

echo "_sign=",md5($coid.$username.$key),"</br>";
echo "coid=",$coid,"</br>";
echo "username=",iconv("gb2312","utf-8",$username),"</br>";
echo "sign=",$sign,"</br>";
?>
截图显示:
image 
这里只是以一个简单程序做例子,说明跨字符集程序中,签名需要怎么样处理。我们总结一下:
无论什么样字符集,获得对方原始值后,直接先做签名验证,再做转码。这个规律所有语言都适用!!!
 
 
疑问:看了web 程序乱码深入分析【基础原理篇】--php为例 可能大家知道的,无论什么应用程序,是不能准确通过字节流判断出它的编码的。 那么我们做接口开发时候,可以仿照下:http协议,在接口里面加入,字符集属性字段。清楚告诉它,我返回将时什么字符。现在,各大支付网关,都有类似扩展字段,让调用接口方,告诉它传入字符编码是那种类型。 你们可以查阅下它们接口看看。
 
 
 
posted on 2010-10-18 20:03  程默  阅读(5390)  评论(0编辑  收藏  举报