聊聊API设计的签名

1. 首先，举两个签名的实例

​ 最近在与三方系统对接的时候遇到好多API需要签名的实例，其中有一个签名是这样的：

1. 调用方申请App Key 和 App Secret
2. 在生成请求时，首先生成一个nonce无意义的字符串，字符串由调用方决定。App Key + nonce + App Secret 拼接后，进行SHA1加密，将App Key, nonce, 和加密后的串作为请求的一部分附加在请求上。
3. 服务提供方不对nonce是否使用过进行校验。收到请求后，验证签名，验证通过后处理。

​ 另外一个签名是这样的

1. 调用方申请 App Secret
2. 生成请求时，使用所有参数根据字母顺序排序后拼接的字符串 + App Secret 进行MD5加密，然后将加密结果作为参数追加到请求上。
3. 服务提供方收到请求后，首先根据参数识别出调用方，然后找到对应的App Secret进行加密并比对。结果比对成功后继续处理请求。

​ 在我看来，这两个签名设计的都有所欠缺。

​ 对于第一个签名设计：因为服务方不对nonce是否使用过进行判断，所以同一组App Key + nonce + App Secret 生成的签名可以被不同的请求多次使用，这就导致了请求可以被“伪造”：对于蓄意破坏者，只需要拦截到一组签名，即可无限次地成功访问被调用接口。如果目标接口是删除接口，那系统的风险就很大了。

​ 对于第二个签名设计：签名的识别是依赖于具体业务的。如果签名只用于某一个特殊的接口，问题不大，只需要对接口的参数做特殊处理即可；但如果签名被多个接口复用，签名的通用性就值得商榷了。

2. 为什么要使用签名

​ API签名主要使用在系统间进行交互时。采用API签名，第一是保证请求的数据正确性、保证接口安全；第二是识别API调用者的身份。

1. 保证请求数据正确、保证接口安全： 以上面一节提到的签名2为例，当请求中的某一个字段的值变化时，原有的签名结果就会发生变化。所以，只要参数发生变化，签名就要发生变化，否则请求将会是一个无效的请求。从这一点上讲，上一节提到的签名1就没能做到这个功能。
2. 识别API调用者身份：一般情况下，生成签名的算法都会成对出现一个App Key 和一个 App Secret，根据App Key 能识别出调用者身份；根据App Secret 能识别出签名是否合法。从这一点上讲，以上签名的签名2 做的就不是很好，其通用性并不是很强。

3. 一个比较合理的签名过程

​ 下面是一个比较合理的签名过程：

1. 调用方申请App Key 和 App Secret
2. 在生成请求时，使用所有字母顺序排序后拼接的字符串 + App Secret 拼接后进行MD5加密，然后将 App Key， 加密结果追加到请求上。
3. 服务收到请求后，根据App Key识别出调用方，然后从字典中查询到对应的App Secret，与请求参数拼接、加密，与请求中的签名进行对比，签名结果相同的为合法请求。

​ 这种签名方式符合上一节提到的使用签名的目的：由于请求的参数会作为签名的一部分，所以请求参数变化后，签名结果一定会随之发生变化，否则将无法认证通过；通过App Key 可以快速识别出API 调用者的身份，而无需与实际业务逻辑掺杂起来，通用性更强。

​ 针对以上签名算法，签名的实现过程如下：

private static String genSign(List<NameValuePair> nvps) throws NoSuchAlgorithmException, IOException {
    List<String> nvs = Lists.newArrayList();
    for (NameValuePair nvp: nvps) {
        boolean noSignValue = nvp == null || nvp.getValue() == null ||
                SIGN_EXCEPTIONS.contains(nvp.getName());
        if (noSignValue) continue;
        nvs.add(String.format("%s=%s", nvp.getName(), nvp.getValue()));
    }
    Collections.sort(nvs);
    StringBuilder sb = new StringBuilder();
    for (String nv: nvs) sb.append(String.format("%s", nv));
    String encodeSource = String.format("%s%s", sb.toString(), APP_SECRET);
    return MD5Util.MD5Encode(encodeSource, ENCRYPT_CHARSET).toLowerCase();
}

​ API调用方将签名结果和 App Key 作为参数追加在请求尾部；API提供方使用签名方法进行签名并比对结果，即可方便地识别请求者身份、判断请求是否合法。