签名算法
## 签名说明
为避免某些用户修改服务端返回的数据,服务端对某些接口返回的数据进行了签名。
签名的接口会增加:`_sign`表示签名,`_ts`表示当时的时间戳(秒)
验证签名时,应该检查`_ts`跟当前时间的差(注意使用服务端的时间,因为客户端自己可以调时间),如果差异大于30s,应该认为不合法的。
仅一些比较敏感的接口需要进行签名,当前有:
- /api/sendGift(已增加返回参数,应该用服务端返回的参数)
- /api/sendRoomGift(已增加返回参数,应该用服务端返回的参数)
- /api/rewardDongtai(已增加返回参数,应该用服务端返回的参数)
- /drawGame/sendGift(已增加返回参数,应该用服务端返回的参数)
- /spyGame/sendGift(已增加返回参数,应该用服务端返回的参数)
- /api/createRedbag(已增加返回参数,应该用服务端返回的参数)
- /api/useCard(已增加返回参数,应该用服务端返回的参数)
- /api/inviteEstablishRelation(已增加返回参数,应该用服务端返回的参数)
## 签名客户端存储方法
为避免用户获取到签名key,建议客户端把key分成多份,存储到多个不相关的字段,使用时再按照正确顺序拼接起来用。
## 签名算法
#### 第一步:
将所有参数(除了`_sign`外)按照参数名`ASCII`码从小到大排序(字典序),使用`URL`键值对的格式(即key1=value1&key2=value2…)拼接成字符串`stringA`。
特别注意以下重要规则:
>d ◆ 参数名ASCII码从小到大排序(字典序);
◆ 参数名区分大小写;
#### 第二步:
在`stringA`最后拼接上`key`得到`stringSignTemp`字符串,并对`stringSignTemp`进行`MD5`运算,再将得到的字符串所有字符转换为大写,得到sign值。
>w key是指你的API秘钥
注意不要泄露,妥善保存
## 举例:
假设传送的参数如下:
`userid:100`
`changeValue:50`
第一步:对参数按照`key=value`的格式,并按照参数名ASCII字典序排序如下:
`stringA="changeValue=50&userid=100"`
第二步:拼接API密钥:
`stringSignTemp=stringA+"&key=192006250b4c09247ec02edce69f6a2d"`
`sign=MD5(stringSignTemp).toUpperCase()="9A0A8659F005D6984697E2CA0A9CF3B7" `