签名算法
为了防止API调用过程中被黑客恶意篡改,调用任何一个API都需要携带签名,HOP服务端会根据请求参数,对签名进行验证,签名不合法的请求将会被拒绝。TOP目前支持的签名算法只有一种:MD5(sign_method=md5)签名大体过程如下:
• ● 对所有API请求参数(包括公共参数和业务参数,但除去sign参数和byte[]类型的参数),根据参数名称的ASCII码表的顺序排序。如:foo=1, bar=2, foo_bar=3, foobar=4排序后的顺序是bar=2, foo=1, foo_bar=3, foobar=4。
• ● 将排序好的参数名和参数值拼装在一起,根据上面的示例得到的结果为:bar2foo1foo_bar3foobar4。
• ● 把拼装好的字符串采用utf-8编码,使用签名算法对编码后的字节流进行摘要,如:md5(bar2foo1foo_bar3foobar4)。
• ● 将摘要得到的字节流结果使用十六进制表示,如:hex(“helloworld”.getBytes(“utf-8”)) = “68656C6C6F776F726C64”
说明:MD5是128位长度的摘要算法,用16进制表示,一个十六进制的字符能表示4个位,所以签名后的字符串长度固定为32个十六进制字符。
C#签名示例代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45 public static string SignTopRequest(IDictionary<string, string> parameters,string signMethod, string appSecret)
{
// 第一步:把字典按Key的字母顺序排序
IDictionary<string, string> sortedParams = new SortedDictionary<string, string>(parameters, StringComparer.Ordinal);
IEnumerator<KeyValuePair<string, string>> dem = sortedParams.GetEnumerator();
// 第二步:把所有参数名和参数值串在一起
StringBuilder query = new StringBuilder();
while (dem.MoveNext())
{
string key = dem.Current.Key;
string value = dem.Current.Value;
if (!string.IsNullOrEmpty(key) && !string.IsNullOrEmpty(value))
{
query.Append(key).Append(value);
}
}
query.Append(appSecret);
// 第三步:使用MD5加密
byte[] bytes;
MD5 md5 = MD5.Create();
bytes = md5.ComputeHash(Encoding.UTF8.GetBytes(query.ToString()));
// 第四步:把二进制转化为大写的十六进制
StringBuilder result = new StringBuilder();
for ( int i = 0 ; i < bytes.Length; i++)
{
result.Append(bytes[i].ToString( "X2" ));
}
return result.ToString();
}
调用示例
以Hishop.Open.Api.ITrade.GetSoldTrades调用为例,具体步骤如下:
1. 设置参数值
系统内置共钥:
• ●app_secreate = “123456789”,内置共钥,参数值和格式以对接系统提供为准
公共参数:
• ●app_key = “hishopyunshangcheng”
• ●timestamp = “2015-01-01 12:00:00”
• ●sign= 公共参数+业务参数+app_secreate
业务参数:
• ●start_created=“2016-02-15 11:50:20”
• ●end_created=“2016-02-15 23:50:20”
• ●status=“1”
• ●buyer_uname=“nainiu”
• ●page_no=“1”
• ●page_size=“40”
2. 按ASCII顺序排序
• ●app_key = “hishopyunshangcheng”
• ●buyer_uname=“nainiu”
• ●end_created=“2016-02-15 23:50:20”
• ●status=“1”
• ●start_created=“2016-02-15 11:50:20”
• ●timestamp=“2015-01-01 12:00:00”
• ●page_no=“1”
• ●page_size=“40”
3. 拼接参数名与参数值
app_keyhishopyunshangchengbuyer_unamenainiuend_created2016-02-15 23:50:20status1start_created2016-02-15 11:50:20timestamp2015-01-01 12:00:00page_no1page_size40123456789
4. 生成签名
假设最后拼接后的参数名和参数值为变量key="app_keyhishopyunshangchengbuyer_unamenainiuend_created2016-02-15 23:50:20status1start_created2016-02-15 11:50:20timestamp2015-01-01 12:00:00page_no1page_size40123456789",则签名后的sign值为:md5(key)=FBF8A81D8370223BF6D58622B3E8CBE4
5. 组装HTTP请求
将所有参数名和参数值采用utf-8进行URL编码(参数顺序可随意,但必须要包括签名参数),然后通过POST(含byte[]类型参数)发起请求,如:
1 http: //kdt.api.hishop.com/router/Hishop.Open.Api.ITrade.GetSoldTrades?app_key=hishopyunshangcheng×tamp=2015-01-01+12%3A00%3A00&buyer_uname=nainiu&end_created=2016-02-15+23%3A50%3A20&status=1&start_created=2016-02-15+11%3A50%3A20&page_no=1&page_size=40&sign=C612BA1DAF21AF100906851F62684DDA
注意事项
• ●所有的请求和响应数据编码皆为utf-8格式,URL里的所有参数名和参数值请做URL编码。如果请求的Content-Type是application/x-www-form-urlencoded,则HTTP Body体里的所有参数值也做URL编码;如果是multipart/form-data格式,每个表单字段的参数值无需编码,但每个表单字段的charset部分需要指定为utf-8。
• ●所有API都用POST发起请求。
• ●生成签名(sign)仅对未使用HOP官方SDK进行API调用时需要操作,如使用了HOP官方SDK,该步骤SDK会自动完成。
FAQ
关于此文档暂时还没有FAQ