API请求签名服务器校验猜测

大众点评API请求签名的疑问和服务器端校验考虑

大众点评的签名生成方式可参考http://developer.dianping.com/app/documentation/signature

内容如下：

概述

大众点评API需要通过签名来访问，签名的过程是将请求参数串以及APP密钥根据一定签名算法生成的签名值，作为新的请求参数从而提高访问过程中的防篡改性。签名值的生成详见下面的描述。

URL签名生成规则

所有大众点评API的有效访问URL包括以下三个部分： 
1. 资源访问路径，如/v1/deal/find_deals; 
2. 请求参数：即API对应所需的参数名和参数值param=value，多个请求参数间用&连接
   如deal_id=1-85462&appkey=00000； 
3. 签名串，由签名算法生成

 

签名算法如下： 
1. 对除appkey以外的所有请求参数进行字典升序排列； 
2. 将以上排序后的参数表进行字符串连接，如key1value1key2value2key3value3...keyNvalueN； 
3. 将app key作为前缀，将app secret作为后缀，对该字符串进行SHA-1计算，并转换成16进制编码； 
4. 转换为全大写形式后即获得签名串 

 

因自己对安全方面不太了解，最近看下api请求篡改问题，看到大众点评的处理方式如上。原来不太明白服务端应该是怎么校验的，网上没怎么找到服务端的校验方式，即使找到一些也感觉还是有点漏洞一样，多看了几遍才发现有appkey这个参数，一般appkey 和appsecret 是配对的，如果请求的时候都传了appkey参数，不传appsecret ，则服务器端根据appkey获取appsecret ，然后按照相同的方式进行加密校验应该就可以了。因为appsecret 没有被暴露的风险，这个即使获取到所有的参数，没有appsecret 也无法生存相同的签名。只是猜测，特此记录