API提供基于HTTP的Restful API,字符编码采用UTF-8,每个申请接入 的业务系统都会获得AppKey与AppSecret,AppKey与 AppSecret相当于调用API的身份标识与密钥,具有较高的敏感性,需要妥善保管。
- 认证机制
业务系统在请求时需要对请求参数进行签名, 在接收参数时对签名值进行校验,具体操作步骤如下:
Step1: 将请求参数名称按照ASCII码从小到大排序;
Step2: 排序后使用URL 参数拼接方式(即 Key=Vaue&Key=Value)组成待签名原文;
Step3: AppSecret做为密钥使用 HMac-SHA256算法对签名原文进行签名(签名值编码为 HEX(十六进制)方式,忽略大小写);
Step4: AppKey及签名值分别存储至HTTP请求头Content-Appkey、Content-Signature中.
- 防重放攻击
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
