API
>
接口安全
接口安全
更新时间:2021/07/06 10:34
校验机制
每个接口都需要传递api_key、sign两个参数,权限校验机制基于这些参数。
api_key用于调用者声明自身的身份,由连犀云平台进行分配,连犀云平台会验证api_key合法性。
ts是调用时刻的unix时间戳,单位为秒,连犀云平台会对ts进行检查,保证参数的时效性。若在平台服务器时间特定阈值范围内(前后5分钟)的调用被认为是合法的,否则会报签名过期的错误。
Sign参数是参数签名,需要根据业务参数、ts时间戳、安全密钥api_secret计算出来。连犀云平台会根据调用方所传递的参数重新计算签名值并与sign参数对比,一致则验证通过。
api_key和api_secret由连犀云平台分配,通过安全的通信方式告知合作企业,api_secret需要双方妥善保管。api_secret不属于接口参数,只参与签名计算,请勿在参数中传递api_secret。
签名算法
以POST方式JSON格式访问平台接口,将参数和分配的企业签名api_secret拼接,并计算所得到字符串的MD5值,即为sign值。
例如:
body请求参数 {"b":"2","c":"3","a":"1","ts":1601481600}
签名sign = MD5({"b":"2","c":"3","a":"1","ts":1601481600}企业api_secret)
body请求参数[{"b":"2","c":"3","a":"1","ts":1601481600}]
签名sign = MD5([{"b":"2","c":"3","a":"1","ts":1601481600}]企业api_secret)