http安全之签名验签

下面以支付宝付款成功通知为例

支付宝付款成功--------》通知某某商户

http://myurl/notify_alipay_pay?item=123&num=323&account=xiaoming&sign=DGFVGYUGLKJHLKGKSDGSLDSJHDKLSJDKHFNCCNMXC

逻辑

  String respSignature =DGFVGYUGLKJHLKGKSDGSLDSJHDKLSJDKHFNCCNMXC //获得sign 的值，原始签名值，或md5,rsa 加密算法等等。

  String signature=buildSignature(para);//分别把item、num、account等等业务参数，根据甲方约定规则组装，得到签名的值

  if(respSignature.equals(signature)){

    //表示验签成功

    return true;

  }else{

    //失败

    return false;

  }

逻辑就这么简单，关键在组装签名值别搞错了，当然真实项目都会联调的。