第二章中说明请求参数有哪些,主要是公共参数和业务参数,服务端需要对参数进行效验,已验证请求参数的合法性
参数效验前先解释下以下参数:
1、参数键值对:包括公共参数、业务参数
1、公共参数:按键值对拼串,如time=123123app_id=sdf34234method=user.buyer.get等
2、系统参数:
1、如果是get请求则添加到公共参数后面
2、如果是post请求则需要服务端从form中获取
2、内部key:双方约定的秘钥,一般为app_secret
3、sign:键值对+内部key进行md5加密后的串
服务端怎样验证安全性
1、判断时间戳是否重复使用(如果参数中包含使用过(同一app_id、method))的时间戳,则直接拒绝)
2、判断sign是否匹配(sign是键值对+内部key进行md5后的串,因为内部key只有客户端/服务器知道,所以不容易破解,再加上进行了时间戳判重,所以同一个url连接不能重复使用)
MD5加密网站:http://md5jiami.51240.com/