接口签名验证的核心是确保请求可信且未被篡改,服务端需按相同规则(字典序拼接参数 + 追加 secret+HMAC-SHA256)生成签名并与请求 sign 比对,同时校验 timestamp、nonce 防重放及参数一致性。
接口签名验证的核心是确保请求来自可信客户端,且未被篡改。关键在于服务端能用相同规则重新生成签名,并与请求中携带的签名比对一致。
签名生成的基本逻辑
签名不是加密,而是对请求参数做确定性摘要。通常步骤包括:
- 将所有参与签名的参数(如red”>timestamp、nonce、app_id、业务字段等)按字典序排序
- 拼接成 key1=value1&key2=value2 格式的字符串(注意 URL编码 需统一,一般不编码或全编码)
- 在字符串末尾追加预共享密钥(secret),再用 HMAC-SHA256 等算法计算摘要
- 将摘要结果转为十六进制小写字符串(或 Base64),作为 sign 字段随请求发出
服务端验证的关键检查点
收到请求后,不能只比对sign,还要防控常见攻击:
- 时间戳校验 :拒绝timestamp 超过当前时间±5 分钟的请求,防止重放
- Nonce 去重:缓存近期用过的nonce(如 Redis 中设 10 分钟过期),重复即拒
- 参数一致性:提取请求中所有待签名字段,严格按约定规则拼接,不得遗漏或错序
- 签名算法匹配:确认客户端和服务端使用完全相同的哈希算法、密钥、编码方式(如是否对 value 做 urllib.parse.quote)
Python 服务端验证示例(Flask)
以下是一个轻量但完整的验证片段:
立即学习“Python 免费学习笔记(深入)”;
import hmac import hashlib import time from urllib.parse import urlencode def verify_signature(data: dict, secret: str) -> bool:
提取必要字段
timestamp = int(data.pop('timestamp', 0)) nonce = data.pop('nonce', '') sign = data.pop('sign','') # 时间有效性检查 if abs(time.time() - timestamp) > 300: return False # Nonce 防重放(需配合 Redis 或内存缓存)if is_nonce_used(nonce): return False mark_nonce_used(nonce) # 拼接待签名字符串(按 key 字典序,不带 sign)sorted_items = sorted((k, v) for k, v in data.items() if k != 'sign') query_string = '&'.join(f'{k}={v}' for k, v in sorted_items) # 计算签名 message = (query_string + secret).encode() expected_sign = hmac.new( secret.encode(), message, hashlib.sha256 ).hexdigest() return sign == expected_sign容易踩坑的细节
很多签名失败并非逻辑错误,而是细节不一致:
