为防止第三方冒充客户端请求服务器,可以采用参数签名验证的方法:
将请求参数中的各个键值对按照key的字符串顺序升序排列(大小写敏感),把key和value拼成一串之后最后加上密钥,组成key1value1key2value2PRIVATEKEY的格式,转成utf-8编码的字节序列后计算md5,作为请求的签名。计算出来的签名串应当全为小写形式。如果某个参数的值为空,则此参数不参与签名。
例如,C为客户端,S为服务器端。C向S发出请求
C传的参数有A=a,B=b,C=c,除此之外,还需要传递一个签名摘要参数sign。
sign = md5(AaBbCc+key) 其中+表示字符串连接,md5算法,可以替换为一些更为复杂的签名算法,其中key是双方商定好的私钥
服务器端用同样的方法来进行签名验证
在此过程中注意编码问题,服务器端一定要先进行签名验证,然后再转码。