接口安全--签名验证

为防止第三方冒充客户端请求服务器，可以采用参数签名验证的方法：

    将请求参数中的各个键值对按照key的字符串顺序升序排列（大小写敏感），把key和value拼成一串之后最后加上密钥，组成key1value1key2value2PRIVATEKEY的格式，转成utf-8编码的字节序列后计算md5，作为请求的签名。计算出来的签名串应当全为小写形式。如果某个参数的值为空，则此参数不参与签名。

 

例如，C为客户端，S为服务器端。C向S发出请求

    C传的参数有A=a,B=b,C=c，除此之外，还需要传递一个签名摘要参数sign。

        sign = md5(AaBbCc+key)    其中+表示字符串连接，md5算法，可以替换为一些更为复杂的签名算法，其中key是双方商定好的私钥

 

服务器端用同样的方法来进行签名验证

 

在此过程中注意编码问题，服务器端一定要先进行签名验证，然后再转码。