有时候,作为服务的提供者S,须要保证与客户C间交易的可靠性和安全性。
这样的可靠性和安全性表如今:
(1)S 拒绝全部非C的请求。
(2)防止非C伪造C的请求。
支付宝作为国内最大的在线第三方支付服务。在这方面是怎样保证上述的可靠性和安全性的?
1. 使用Https安全连接,保证通信协议安全。
2. 使用签名密钥校验。(与加密密钥不同)
例如以下图为支付宝和客户间的马上支付体系流程
首先,商户通过注冊帐号会获得一个客户专有的签名密钥key,(好像是32位)。
客户准备好 orderInfo(订单信息),returnUrl(成功后跳转链接),vendorId(客户ID);
客户发送时签名sign为:
sign1 = MD5(orderInfo+returnUrl+vendorId+key); 非key的字段会依据字段名的字母排序
然后,client会把 orderInfo, returnUrl, vendorId, sign 一起post到支付宝服务端。
支付宝获取到请求后:
(1) 依据vendorId从自己的数据服务内获取该商户的签名密钥key2。
假设合法。key1 = key2 否则不想等,或者不存在
(2) 计算 sign2 = MD5(orderInfo+returnUrl+vendorId+key2);
(3) 假设 sign1 == sign2 则处理请求,否则返回错误。
(4) 成功后重定向到 returnUrl。返回商户页面。
逻辑并不复杂,你也能够使用它在自己的服务中~
附接口文档地址:
http://wenku.baidu.com/link?url=aCtpvRAXhqqiLQZbvRPwZYP6jx_d_7h18Ea_zsN1JhzjFDW99UXamI-0L3kUdZ7vvN_1AcWEzAjzXrspHJZ5yFbbiKgl8wxCW4CtfAf-4mq