//场景:公司要跟第三方公司合作,提供接口给对方对接,这样需要对接口进行授权,不然任何人都可以调我们公司的接口,会导致安全隐患:
思路: 在每个接口请求参数都带上ApiKey 和sign签名:
我们在对接前,给对方提供一个ApiKey 和密码secrect,这2个值随便自己定义,只要双方都约定好就行了:
对方要做的事情: 对请求参requestDTO 除sign签名字段外,转成JSON字符串,
然后前后拼上secrect,再MD5加密得到sign签名:
伪代码:
String reqStr=JSON.toJSONStirng(requestDTO);
StringBuilder sb = new StringBuilder();
sb.append(BeeBoxConstant.SECRET);
sb.append(json);
sb.append(BeeBoxConstant.SECRET);
String sign = Md5Util.getMd5(sb.toString());
requestDTO.setSign(sign);
注意:requestDTO不能将密码也带过去
我们要做的事情:
拿到对方请求参数:requestDTO
获取sign值和apiKey:
String sign=requestDTO.getSign();
String apiKey=requestDTO.getApiKey();
通过apikey去获得密码secrect,因为apikey和密码是我们提供的,所以肯定知道在哪里获取;
之后请求对象设置sign值为null:
requestDTO.setSign(null);
转成JSON,然后按同样的方式生成sign签名:
String reqStr=JSON.toJSONStirng(requestDTO);
StringBuilder sb = new StringBuilder();
sb.append(BeeBoxConstant.SECRET);
sb.append(json);
sb.append(BeeBoxConstant.SECRET);
String sign2 = Md5Util.getMd5(sb.toString());
比较对方传过来的sign值和我们计算得到的sign2是不是一致,一致签名验证就通过,不一致签名就是失败;