项目中常用的API接口签名验证方法：

1. 给app分配对应的key、secret
2. Sign签名，调用API 时需要对请求参数进行签名验证，签名方式如下：
　　a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到：keyvaluekeyvalue...keyvalue  字符串如：将arong=1,mrong=2,crong=3 排序为：arong=1, crong=3,mrong=2  然后将参数名和参数值进行拼接得到参数字符串：arong1crong3mrong2；
　　b. 将secret加在参数字符串的头部后进行MD5加密 ,加密后的字符串需大写。即得到签名Sign；

大致处理过程

// 用户验证、判断key是否存在，同时查询出对应的secret用于验证；

....

// 验证签名，根据算法将参数进行签名得到sign与参数中的sign进行对比；

....

// 插叙数据获取列表

如下图

app调用：http://api.test.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&参数1=value1&参数2=value2.......
注：secret 仅作加密使用, 为了保证数据安全请不要在请求参数中使用。

请求的唯一性： 为了防止别人重复使用请求参数问题，我们需要保证请求的唯一性，就是对应请求只能使用一次，这样就算别人拿走了请求的完整链接也是无效的。
唯一性的实现：在如上的请求参数中，我们加入时间戳 ：timestamp（yyyyMMddHHmmss），同样，时间戳作为请求参数之一，也加入sign算法中进行加密。

下面提供2个签名验证的方法：时间戳注意加入及验证的处理

1、OpenId签名及验证

2、请求参数签名及验证

一般企业内部应用相互之间接口调用是不需要进行参数的签名验证的，大部分情况下是提供给第三方时才会需要。如果您有更好的接口签名验证方法，欢迎分享

原文地址：http://www.cnblogs.com/hnsongbiao/p/5478645.html

---

.NET社区新闻，深度好文，微信中搜索dotNET跨平台或扫描二维码关注