ToB企服应用市场:ToB评测及商务社交产业平台

标题: springboot~关于md5签名引发的问题 [打印本页]

作者: 卖不甜枣 时间: 2023-4-23 18:52
标题: springboot~关于md5签名引发的问题
事实是这样的，我有个接口，这个接口不能被篡改，于是想到了比较简单的md5对url地址参数进行加密，把这个密码当成是sign，然后服务端收到请求后，使用相同算法也生成sign，两个sign相同就正常没有被篡改过。
问题的出现

接口中的参数包括userId,extUserId,时间，其中extUserId字符编码，中间会有+这种符号
有些用户使用签名接口正常
有一些用户总显示签名失败

问题原因

因为有些用户的extUserId中包括了url上的特殊字符，它不能正常在在url上传输，必须进行urlEncode编码才行，这一点非常容易被忽略；程序中一般不需要手动urlDecode解码，都是由框架帮我们实现的。
下面整理了一些url上需要编码的字符：
- + URL中+表示空格十六进制： %2B
- / 分离目录和子目录十六进制 : %2F
- ? 分离实际的URL和参数十六进制： %3F
- % 特殊字符十六进制： %25
- # 表示书签十六进制： %23
- & URL中指定参数间的分隔符十六进制： %26
- = URL中指定参数的值十六进制：%3D
- 空格 URL中的空格可以用+号或者编码十六进制 : %20

url在签名时一般这样处理

sign=md5(userId+extUserId+simpleDateFormat.format(new Date()) + SECRET).toUpperCase();
?extUserId=URL.Encode(extUserId)&sign=sign

复制代码

注意：sign中是接收的参数，它不需要Encode，应该框架已经帮我们做了；而向下传递的url参数extUserId是需要手动Encode的。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)