日期:2014-05-17  浏览次数:20476 次

没搞过,求实现,
旧版鉴权参数的sign算法跟原来一样保持不变,
旧版的鉴权参数在API接口调用时需要传的鉴权参数名称有:spid,token,uin、sign
/
只有在fuwu平台申请到的新版的鉴权,才需要采用新版的sign算法
新版的鉴权参数在API接口调用时需要传的鉴权参数名称有:appOAuthID,accessToken,uin、sign
/

新版鉴权系统也需要提供多两个参数:
timeStamp:当前的系统时间戳,单位为秒
randomValue:随机值的整数(100009999999999)

/


拍拍开放平台第三方应用签名参数sign的说明


本文档仅适用于OpenAPI 新版鉴权参数的签名生成,由于是通用说明,本文中仅以/deal/sellerSearchDealList.xhtml的签名生成作为示例。

签名值sign是将请求源串以及密钥根据一定签名方法生成的签名值,用来提高传输过程参数的防篡改性。
签名值的生成共有3个步骤:构造源串,构造密钥,生成签名值。详见下面的描述。

Step 1. 构造源串

源串是由3部分内容用“&”拼接起来的: HTTP请求方式 & urlencode(uri) & urlencode(a=x&b=y&...)
源串构造步骤如下:
第1步:将请求的URI路径进行URL编码(URI不含host,URI示例:/deal/sellerSearchDealList.xhtml)
请开发者关注:URL编码注意事项,否则容易导致后面签名不能通过验证。

第2步:将除“sign”外的所有参数按key进行字典升序排列。 
注:除非OpenAPI文档中特别标注了某参数不参与签名,否则除sign外的所有参数都要参与签名。

第3步:将第2步中排序后的参数(key=value)用&拼接起来,并进行URL编码。
请开发者关注:URL编码注意事项,否则容易导致后面签名不能通过验证。 

第4步:将HTTP请求方式(GET或者POST)以及第1步和第3步中的字符串用&拼接起来。 

源串构造示例如下
(由于是通用说明,这里以/deal/sellerSearchDealList.xhtml作为示例,且示例中的请求串不可直接复制访问)
1. 原始请求信息:
HTTP请求方式:GET
请求的URI路径(不含HOST):/deal/sellerSearchDealList.xhtml
secretOAuthKey:xxxFFOr1vD5lL9D0
请求参数:accessToken=2b739b7fed2c4a4a7a3a20b646ee3e87&appOAuthID=700000056&timeStamp=1336719949712&uin=214689727&randomValue=123321

2. 下面开始构造源串: 
第1步:将请求的URI路径进行URL编码,得到: %2Fdeal%2FsellerSearchDealList.xhtml 

第2步:将除“sign”外的所有参数按key进行字典升序排列,排列结果为:accessToken,appOAuthID,randomValue,timeStamp,uin 


第3步:将第2步中排序后的参数(key=value)用&拼接起来:
accessToken=2b739b7fed2c4a4a7a3a20b646ee3e87&appOAuthID=700000056&randomValue=123321&timeStamp=1336732259249&uin=214689727
 
然后进行URL编码( 编码时请关注URL编码注意事项,否则容易导致后面签名不能通过验证),编码结果为:
accessToken%3D2b739b7fed2c4a4a7a3a20b646ee3e87%26appOAuthID%3D700000056%26randomValue
%3D123321%26timeStamp%3D1336732259249%26uin%3D214689727

第4步:将HTTP请求方式,第1步以及第3步中的到的字符串用&拼接起来,得到源串:
GET&%2Fdeal%2FsellerSearchDealList.xhtml&accessToken%3D2b739b7fed2c4a4a7a3a20b646ee3e87
%26appOAuthID%3D700000056%26randomValue%3D123321%26timeStamp%3D1336732259249%26uin%3D214689727

Step 2. 构造密钥

得到密钥的方式:在应用的secretOAuthKey末尾加上一个字节的“&”,即secretOAuthKey&,例如:
xxxFFOr1vD5lL9D0&
Step 3. 生成签名值

1. 使用HMAC-SHA1加密算法,将Step1中的到的源串以及Step2中得到的密钥进行加密。 
(注:一般程序语言中会内置HMAC-SHA1加密算法的函数,例如PHP5.1.2之后的版本可直接调用hash_hmac函数。)

2. 然后将加密后的字符串经过Base64编码。 
(注:一般程序语言中会内置Base64编码函数,例如PHP中可直接调用 base64_encode() 函数。)

3. 得到的签名值结果如下:
zRXOeH3tIdKAf9fUWUwcvoAjyjs=


常见错误排障

签名校验失败分为以下两种情况:
1. sign参数生成错误
有可能由下列原因引起:
(1)构造源串时注意URI不含host,如/deal/sellerSearchDealList.xhtml,而不是http://api.paipai.com/deal/sellerSearchDealList.xhtml
(2)构造源串时,没有将key排序后,再将(key=value)用&拼接起来。
(3)构造密钥时,没有将secretOAuthKey后加“&”。
(4)某些语言的URLEncode系统方法在进行URL编码时,并没有按照现行的URL编码规则进行。详见下文的:URL编码注意事项。 
 

2. sign参数生成正确,但是参数传输前没有进行URL编码。
所有参数传输时都要进行URL编码,包括sign。如果没有进行URL编码,则即使sig是正确的,但是校验sig时不能匹配。

URL编码注意事项
URL编码规则:
签名验证时,要求对字符串中除了“-”、“_”、“.”之外的所有非字母数字字符都替换成百分号(%)后跟两位十六进制数。
十六进制数中字母必须为大写。

注意事项:
1. 某些系统方法,例如.NET系统方法HttpUtility.UrlEncode会将‘=’编码成‘%3d’,而不是%3D,导致加密签名通不过验证,请开发者注意检查。

2.Java 1.3和早期版本中,调用类java.net.URLEncoder下的方法进行URL编码时,某些特殊字符并不会被编码。特殊字符包括: (.)、(-)、(*) 和 (_) 。
因此如果字符串中含星号(*)会导致生成的签名不能通过验证。

3. 某些语言的urlencode方法会把“空格”编码为“+”,实际上应该编码为“%20”。这也将生成错误的签名,导致签名通不过验证。 
请开发者注意检查,手动将“+”替换为“%20”。
在PHP中,推荐用rawurlencode方法进行URL编码。




------解决方案--------------------
LZ要的是加密?还有没有看出来为啥会得出zRXOeH3tIdKAf9fUWUwcvoAjyjs=这个结果呢
------解决方案-------