我的书签
添加书签
移除书签签名算法
修订记录
2018-09-19:合成开放平台的说明到本地文档。
签名生成总体说明
本文档仅适用于QQ轻游戏后台openapi接口的签名生成,由于是通用说明,本文中仅以/openapi/apollo_verify_openid_openkey的签名生成作为示例。签名值sig是将请求源串以及密钥根据一定签名方法生成的签名值,用来提高传输过程参数的防篡改性。签名值的生成共有3个步骤:构造源串,构造密钥,生成签名值。详见下面的描述。
Step 1. 构造源串
源串是由3部分内容用“&”拼接起来的: HTTP请求方式 & urlencode(uri) & urlencode(a=x&b=y&…)
源串构造步骤如下:第1步:将请求的URI路径进行URL编码(URI不含host,URI示例:/openapi/apollo_verify_openid_openkey)。请开发者关注:URL编码注意事项,否则容易导致后面签名不能通过验证。
第2步:将除“sig”外的所有参数按key进行字典升序排列。 注:除文档中特别标注了某参数不参与签名,否则除sig外的所有参数都要参与签名。
第3步:将第2步中排序后的参数(key=value)用&拼接起来,并进行URL编码。URLENCODE时,要求对字符串中除了“-”、“_”、“.”之外的所有非字母数字字符都替换成百分号(%)后跟两位十六进制数。十六进制数中字母必须为大写。否则会导致校验不过。
第4步:将HTTP请求方式(目前只支持POST)以及第1步和第3步中的字符串用&拼接起来。
源串构造示例如下(由于是通用说明,这里以/openapi/apollo_verify_openid_openkey作为示例,且示例中的请求串不可直接复制访问)
1. 原始请求信息:appkey:228bf094169a40a3HTTP请求方式:POST请求的URI路径(不含HOST):/openapi/apollo_verify_openid_openkey请求参数:appid=1&gameid=2017&openid=222&openkey=1111&rnd=1512981097&sig=xxxxxxxx&ts=11112. 下面开始构造源串:第1步:将请求的URI路径进行URL编码,得到: %2Fopenapi%2Fapollo_verify_openid_openkey第2步:将除“sig”外的所有参数按key进行字典升序排列,排列结果为:appid,gameid,openid,openkey,rnd,ts第3步:将第2步中排序后的参数(key=value)用&拼接起来:appid=1&gameid=2017&openid=222&openkey=1111&rnd=1512981097&ts=1111然后进行URL编码( 编码时请关注URL编码注意事项,否则容易导致后面签名不能通过验证),编码结果为:appid%3D1%26gameid%3D2017%26openid%3D222%26openkey%3D1111%26rnd%3D1512981097%26ts%3D1111第4步:将HTTP请求方式,第1步以及第3步中的到的字符串用&拼接起来,得到源串:POST&%2Fopenapi%2Fapollo_verify_openid_openkey&appid%3D1%26gameid%3D2017%26openid%3D222%26openkey%3D1111%26rnd%3D1512981097%26ts%3D1111
Step 2. 构造密钥
得到密钥的方式:在应用的appkey末尾加上一个字节的“&”,即appkey&,例如:
228bf094169a40a3&
Step 3. 生成签名值
使用HMAC-SHA1加密算法,使用Step2中得到的密钥对Step1中得到的源串加密。 (注:一般程序语言中会内置HMAC-SHA1加密算法的函数,例如PHP5.1.2之后的版本可直接调用hash_hmac函数,注意输出格式要选择二进制输出)
然后将加密后的字符串经过Base64编码。 (注:一般程序语言中会内置Base64编码函数,例如PHP中可直接调用 base64_encode() 函数。)
得到的签名值结果如下:
UUkRyyx0NVfIinwB8P/saj00df8=
C++签名样例
依赖的库
openssl
使用GetSignByHttpParamsSha1接口获取签名,注意strSecKey传入前在尾部加"&"
UrlEncode
std::string URLEncode(const std::string & sIn){std::string sOut;for (size_t ix = 0; ix < sIn.size(); ix++){unsigned char buf[4];memset(buf, 0, 4);if (isalnum((unsigned char)sIn[ix])){buf[0] = sIn[ix];}else if (sIn[ix] == '.' || sIn[ix] == '-' || sIn[ix] == '_'){buf[0] = sIn[ix];}else if (isspace((unsigned char)sIn[ix])){buf[0] = '+';}else{buf[0] = '%';buf[1] = toHex((unsigned char)sIn[ix] >> 4);buf[2] = toHex((unsigned char)sIn[ix] % 16);}sOut += (char *)buf;}return sOut;}
Base64Encode
int Base64Encode(const unsigned char * buffer, unsigned int length, char ** b64text, unsigned int & outlen){int iRet = 0;//Encodes a binary safe base 64 stringBIO *bio, *b64;BUF_MEM *bufferPtr;b64 = BIO_new(BIO_f_base64());bio = BIO_new(BIO_s_mem());bio = BIO_push(b64, bio);BIO_set_flags(bio, BIO_FLAGS_BASE64_NO_NL);iRet = BIO_write(bio, buffer, length);iRet = BIO_flush(bio);BIO_get_mem_ptr(bio, &bufferPtr);iRet = BIO_set_close(bio, BIO_NOCLOSE);*b64text = new char[((bufferPtr->length + 1) * sizeof(char))];memcpy(*b64text, bufferPtr->data, bufferPtr->length);(*b64text)[bufferPtr->length] = '\0';outlen = bufferPtr->length;BIO_free_all(bio);return (0);}
GetSignByHttpParamsSha1
int GetSignByHttpParamsSha1(const string & strMethod, const string & strCgi,const map<string, string> & mapParam, const string & strSecKey,string & strSign){stringstream ssParam;// 将请求参数组装成key1=value1&key2=value2的形式for (map<string , string>::const_iterator iter = mapParam.begin(); iter != mapParam.end(); ++iter){ssParam << iter->first << "=" << iter->second << "&";}// 组装方法名和域名// 这里的strMethod是"POST"// strCgi是api名称,比如"/openapi/apollo_game_item_proxy"或"/openapi/apollo_verify_openid_openkey"stringstream ss;ss << strMethod << "&" << URLEncode(strCgi)<< "&" << URLEncode(ssParam.str().substr(0, ssParam.str().size() - 1));string strBuff = ss.str();// 计算HMAC_HASH,采用SHA1HMAC_CTX ctx;HMAC_CTX_init(&ctx);// 初始化const EVP_MD * engine = EVP_sha1();HMAC_Init_ex(&ctx, strSecKey.c_str(), strSecKey.size(), engine, NULL);// 扣除最后一个&字符HMAC_Update(&ctx, (const unsigned char *)strBuff.data(), strBuff.size());// 计算结果unsigned int uiLen = MAX_SIGN_RESULT_LEN;unsigned char * ucResult = new unsigned char[uiLen];memset(ucResult, 0x00, uiLen);HMAC_Final(&ctx, ucResult, &uiLen);unsigned int uiBaseLen = 0;char * cstrResult = NULL;Base64Encode(ucResult, uiLen, &cstrResult, uiBaseLen);strSign.clear();strSign.assign(cstrResult, uiBaseLen);HMAC_CTX_cleanup(&ctx);delete [] cstrResult;delete [] ucResult;return 0;}
php签名样例
php签名类,引用自腾讯开放平台的openapi接口,使用makeSig接口获取签名,注意secret传入前在尾部加"&"
<?php/*** 生成签名类** @version 3.0.3* @author open.qq.com* @copyright © 2012, Tencent Corporation. All rights reserved.* @ History:* 3.0.3 | nemozhang | 2012-08-28 16:40:20 | support cpay callback sig verifictaion.* 3.0.2 | sparkeli | 2012-03-06 17:58:20 | add statistic fuction which can report API's access time and number to background server* 3.0.1 | nemozhang | 2012-02-14 17:58:20 | resolve a bug: at line 108, change 'post' to $method* 3.0.0 | nemozhang | 2011-12-12 11:11:11 | initialization*//*** 生成签名类*/class SnsSigCheck{/*** 生成签名** @param string $method 请求方法 "POST"* @param string $url_path* @param array $params 表单参数* @param string $secret 密钥*/static public function makeSig($method, $url_path, $params, $secret){$mk = self::makeSource($method, $url_path, $params);$my_sign = hash_hmac("sha1", $mk, strtr($secret, '-_', '+/'), true);$my_sign = base64_encode($my_sign);return $my_sign;}static private function makeSource($method, $url_path, $params){$strs = strtoupper($method) . '&' . rawurlencode($url_path) . '&';ksort($params);$query_string = array();foreach ($params as $key => $val ){array_push($query_string, $key . '=' . $val);}$query_string = join('&', $query_string);return $strs . str_replace('~', '%7E', rawurlencode($query_string));}/*** 验证URL的签名 (注意和普通的OpenAPI签名算法不一样,详见@refer的说明)** @param string $method 请求方法 "get" or "post"* @param string $url_path* @param array $params 腾讯调用发货回调URL携带的请求参数* @param string $secret 密钥* @param string $sig 腾讯调用发货回调URL时传递的签名** @refer* http://wiki.open.qq.com/wiki/%E5%9B%9E%E8%B0%83%E5%8F%91%E8%B4%A7URL%E7%9A%84%E5%8D%8F%E8%AE%AE%E8%AF%B4%E6%98%8E_V3*/static public function verifySig($method, $url_path, $params, $secret, $sig){unset($params['sig']);// 先使用专用的编码规则对value编码foreach ($params as $k => $v){$params[$k] = self::encodeValue($v);}// 再计算签名$sig_new = self::makeSig($method, $url_path, $params, $secret);return $sig_new == $sig;}/*** URL专用的编码算法* 编码规则为:除了 0~9 a~z A~Z !*()之外其他字符按其ASCII码的十六进制加%进行表示,例如"-"编码为"%2D"* @refer* http://wiki.open.qq.com/wiki/%E5%9B%9E%E8%B0%83%E5%8F%91%E8%B4%A7URL%E7%9A%84%E5%8D%8F%E8%AE%AE%E8%AF%B4%E6%98%8E_V3*/static private function encodeValue($value){$rst = '';$len = strlen($value);for ($i=0; $i<$len; $i++){$c = $value[$i];if (preg_match ("/[a-zA-Z0-9!\(\)*]{1,1}/", $c)){$rst .= $c;}else{$rst .= ("%" . sprintf("%02X", ord($c)));}}return $rst;}}// end of script
原文: https://hudong.qq.com/docs/engine/server/thrid/api_doc/sig.html
