签名算法

对于向第三方开放的接口, 通常都要检验其请求的合法性, 通常做法以下.

1. 向第三方提供一个帐号和密钥, 在其发起请求前, 在参数加上帐号和密钥, 再哈希得到签名sign, 然后参数去掉密钥, 再加入sign, 再发起请求.

2. 收到请求后, 根据参数的帐号找到第三方的密钥, 用同样的方法得到sign, 如果两个sign一样, 就是合法的请求, 否则是非法的.

 

参考

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=4_3