web签名验证程序【跨服务器、中文字符签名方法】-php为例

ftlk

　　做电子商务网站，少不了接入支付。做开发同学知道，支付需要调试很多项，比较耗费时间，又有些挑战性的就是它的支付签名验证了。 首先，我们看一下接口数字签名是怎么回事。
　　
　　一、接口数字签名

　　甲方是：服务提供商，开方一个接口。getuserinfo.php ，接收：coid(乙方的标示） username（用户名） 调用接口，返回用户信息，这里只以二个字段说明。
　　
　　乙方是：服务接口调用商，通过应用程序，调用甲方getuserinfo.php 接口。
　　
　　问题：甲方的接口是在互联网上面，对于所有公众都是可以访问的。但是他需要控制，访问接口用户是它授权的用户。
　　解决方案是：甲方加入一个签名字段，乙方调用时候必须将该字段传入。甲乙双方，通过一个私自定义的字串（私钥），加入到签名中。以上字段将变成：
　　

getuserinfo.php接口接收参数
参数	说明
coid	字符型，乙方的编号
username	字符串，需要查询用户信息
sign	数字签名,它的值是： 　　md5(coid+username+key)
	甲乙双方私钥key是：asdf@#%#%#%

　　
　　这种，就是互联网上面，常见的接口的数字签名 实例。 coid，username任意改变，sign结果就会改变。甲方通过验证这个sign就能判断。数据是否是乙方传入的。因为：私钥key 是除了他们知道，不会让第3方获得。 这样就保证了接口安全。

　　二、md5签名中问题（中文验证不通过）

　　问题：
　　当coid,username都为字符串时候，双方签名都调试通过，后来发现username 为中文了，签名不能通过。
　　这个问题是怎么样产生的呢？可能有的朋友，会跟对方进行操作，都用某个中文进行md5运算，发现得到结果不一致？
　　如是得出结果是：我们两个md5函数不标准，或者是不同语言下，md5函数计算结果不一样。 呵呵，这个结论得出后，就认为签名不能通过了。 于是乎，有个同学，在自己电脑里面安装几个程序，进行md5中文签名，发现得到结果一样。
　　分析，继续思考……
　　结果：发现这几个程序所使用编码都一致，所以中文签名结果一样的。
　　终于发现问题了：签名不一致是由于程序的字符编码不一致原因。 如果大家看了：web 程序乱码深入分析【基础原理篇】--php为例 可能就知道该怎么做了。 这里我先说明下签名函数md5是怎么样处理的。
　　md5函数：以传入字节码为内容进行签名验证。因此，需要签名结果一致，只需要传入参数字节码是相同的，那么md5签名结果就相同。
　　
　　相同汉字不同字节码：
　　以下以汉字“中”为例：
　　gb2312 字节码是：D6D0
　　utf-8    字节码是：E4B8AD
　　在2个程序里面，默认字符集不同，看是都是相同中文，md5结果自然就不同了。

　　三、web通讯中签名怎么样做？

　　还是以上面为例：
　　甲方：程序是utf-8编码
　　乙方：程序是gb2312编码

　　通过流程我们很轻易知道，做sign验证时候，甲方在获得变量时候就进行，如：
　　乙方代码：(test.php 保存时保存为：gb2312编码或ansi或gbk)

<?php
header("Content-type:text/html;charset=gb2312");
$key="asdf@#%#%#%";
$sign=md5("chengmo"."中".$key);
?>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>测试</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
</head>
<body>
<form action="test2.php">
合作：<input name="coid" value="chengmo" readonly/>
用户名：<input name="username" value="中" readonly/>
sign：<input name="sign" value="<? echo $sign?>"/>
<input type="submit"/>
</form>
</body>
</html>
　　甲方代码：（test2.php保存时候选择：utf-8)

<?php
header("Content-type:text/html;charset=utf-8");
$key="asdf@#%#%#%";
$coid=isset($_REQUEST['coid'])?trim($_REQUEST['coid']):"";
$username=isset($_REQUEST['username'])?trim($_REQUEST['username']):"";
$sign=isset($_REQUEST['sign'])?trim($_REQUEST['sign']):"";
echo "_sign=",md5($coid.$username.$key),"</br>";
echo "coid=",$coid,"</br>";
echo "username=",iconv("gb2312","utf-8",$username),"</br>";
echo "sign=",$sign,"</br>";
?>

截图显示：

这里只是以一个简单程序做例子，说明跨字符集程序中，签名需要怎么样处理。我们总结一下：
无论什么样字符集，获得对方原始值后，直接先做签名验证，再做转码。这个规律所有语言都适用！！！


疑问：看了web 程序乱码深入分析【基础原理篇】--php为例 可能大家知道的，无论什么应用程序，是不能准确通过字节流判断出它的编码的。 那么我们做接口开发时候，可以仿照下：http协议，在接口里面加入，字符集属性字段。清楚告诉它，我返回将时什么字符。现在，各大支付网关，都有类似扩展字段，让调用接口方，告诉它传入字符编码是那种类型。 你们可以查阅下它们接口看看。