REST签名认证

139 开放平台与应用之间以REST协议进行通讯，为了保证通信的安全性，开放平台加入签名认证机制。应用一旦创建，系统生成唯一并且不公开的secretkey，只有应用的拥有者和开放平台知道。因此，当应用请求开放平台时，把请求的参数以及开放平台分配的secretkey进行MD5 HASH生成sig,从而保证通信的安全。 

签名生成规则

• 把所有的请求参数按照字典顺序进行排序；注意：请把参数的连接符‘&‘去掉；例如：c=3&a=1&b=2排序后为a=1b=2c=3；
• 把排序后的字符串后面追加开放平台分配的secretkey；例如：secretkey=diwierwer2o45q4wer,则处理的串为：a=1b=2c=3diwierwer2o45q4wer；
• 把附加secretkey的串进行md5运算，把计算后的值作为sig参数发送请求给开放平台服务器，例如：c=3&a=1&b=2&sig=3a74f18d8c2a8f25fd145fcb02dab671；

说明：计算sig时，不需要对任何参数进行urlencode，并且都是utf-8编码；但是，当发送请求时需要进行urlencode。 

应用示例

下面以请求users.getInfo方法作为例子，详细说明一下请求串的加密规则：

• 根据方法的参数列表，以POST方式向139 REST开放平台服务器发送请求的详细参数信息：

api_key=36924e87ea34bde6f1600b579c1ab6a1&method=miop.users.getInfo&call_id=12320323243234&
session_key=4d7184b05da4891d709eed3c4dc337bf&v=1.0

• 经过参数排序，并且附加secretkey以后为（假设secretkey:abcdefghi323423）：

api_key=36924e87ea34bde6f1600b579c1ab6a1call_id=12320323243234method=miop.users.getInfo
session_key=4d7184b05da4891d709eed3c4dc337bfv=1.0abcdefghi323423
  

• 把上面生成的排序串进行md5加密：

生成加密串：7f23f63099d564100baf336330035eb9
  

• 把生成的加密串，作为sig参数以POST方式发送给开放平台服务器：

最终请求的参数为：api_key=36924e87ea34bde6f1600b579c1ab6a1&method=miop.users.getInfo&call_id=12320323243234&
session_key=4d7184b05da4891d709eed3c4dc337bf&v=1.0&sig=7f23f63099d564100baf336330035eb9

REST签名认证,布布扣,bubuko.com