API请求签名服务器校验猜测

大众点评API请求签名的疑问和服务器端校验考虑

大众点评的签名生成方式可参考http://developer.dianping.com/app/documentation/signature

内容如下:

概述

大众点评API需要通过签名来访问,签名的过程是将请求参数串以及APP密钥根据一定签名算法生成的签名值,作为新的请求参数从而提高访问过程中的防篡改性。签名值的生成详见下面的描述。

URL签名生成规则


所有大众点评API的有效访问URL包括以下三个部分: 
1. 资源访问路径,如/v1/deal/find_deals; 
2. 请求参数:即API对应所需的参数名和参数值param=value,多个请求参数间用&连接
   如deal_id=1-85462&appkey=00000; 
3. 签名串,由签名算法生成

 

签名算法如下: 
1. 对除appkey以外的所有请求参数进行字典升序排列; 
2. 将以上排序后的参数表进行字符串连接,如key1value1key2value2key3value3...keyNvalueN; 
3. 将app key作为前缀,将app secret作为后缀,对该字符串进行SHA-1计算,并转换成16进制编码; 
4. 转换为全大写形式后即获得签名串 

 

因自己对安全方面不太了解,最近看下api请求篡改问题,看到大众点评的处理方式如上。原来不太明白服务端应该是怎么校验的,网上没怎么找到服务端的校验方式,即使找到一些也感觉还是有点漏洞一样,多看了几遍才发现有appkey这个参数,一般appkey 和appsecret 是配对的,如果请求的时候都传了appkey参数,不传appsecret ,则服务器端根据appkey获取appsecret ,然后按照相同的方式进行加密校验应该就可以了。因为appsecret 没有被暴露的风险,这个即使获取到所有的参数,没有appsecret 也无法生存相同的签名。只是猜测,特此记录

posted @ 2015-10-09 15:39  枯树之花  阅读(410)  评论(0编辑  收藏  举报