HTTP协议及签名_API文档_开发指南

为方便其它语言能快速实现，在此增加了HTTP的详解

注：云通信下的三类产品（包括短信、语音、流量），接口协议一致

一、前言说明

三类产品平台都提供了调用API和消息回执的交互举例如：

通过调用短信的发送API，来成功发送短信
平台成功收到请求后发送给运营商，等用户最终收到短信后，平台会有最终的状态消息确认，就是消息回执

对应的协议是：
- 发送API采用Rest协议：签名算法使用了阿里云的POP协议
- 发送后消息回执：采用的是阿里云的消息中间件MNS来实现
二、协议说明
由于POP的签名算法比较复杂，下面这里结合短信的发送API一并详细说明

2.1 短信发送API的HTTP协议包示例
请求示例：

GET /?Signature=zJDF%2BLrzhj%2FThnlvIToysFRq6t4%3D&AccessKeyId=testId&Action=SendSms&Format=XML&OutId=123&PhoneNumbers=15300000001&RegionId=cn-hangzhou&SignName=%E9%98%BF%E9%87%8C%E4%BA%91%E7%9F%AD%E4%BF%A1%E6%B5%8B%E8%AF%95%E4%B8%93%E7%94%A8&SignatureMethod=HMAC-SHA1&SignatureNonce=45e25e9b-0a6f-4070-8c85-2956eda1b466&SignatureVersion=1.0&TemplateCode=SMS_71390007&TemplateParam=%7B%22customer%22%3A%22test%22%7D&Timestamp=2017-07-12T02%3A42%3A19Z&Version=2017-05-25
HTTP/1.1
Host: dysmsapi.aliyuncs.com
...

返回示例：

HTTP/1.1 200 OK
...
<?xml version='1.0' encoding='UTF-8'?><SendSmsResponse><Message>OK</Message><RequestId>E8534574-7381-4810-8F70-65B37BBA8970</RequestId><BizId>108374502347^1111325525761</BizId><Code>OK</Code></SendSmsResponse>

2.2 短信Rest请求参数

如HTTP示例包中，请求的参数可以分两大块：系统参数和业务参数

系统参数

系统参数为POP协议的基本参数，有

参数KEY	是否必填	说明
AccessKeyId	是
Timestamp	是	格式为：yyyy-MM-dd’T’HH:mm:ss’Z’；时区为：GMT
Format	否	没传默认为JSON，可选填值：XML
SignatureMethod	是	建议固定值：HMAC-SHA1
SignatureVersion	是	建议固定值：1.0
SignatureNonce	是	用于请求的防重放攻击，每次请求唯一，JAVA语言建议用：java.util.UUID.randomUUID()生成即可
Signature	是	最终生成的签名结果值

业务参数

参数KEY	是否必填	说明
Action	是	API的命名，固定值，如发送短信API的值为：SendSms
Version	是	API的版本，固定值，如短信API的值为：2017-05-25
RegionId	是	API支持的RegionID，如短信API的值为：cn-hangzhou
PhoneNumbers	是	具体见API文档描述
SignName	是	具体见API文档描述
TemplateCode	是	具体见API文档描述
TemplateParam	否	具体见API文档描述
OutId	否	具体见API文档描述

2.3 生成签名

签名是为了让请求合法，共分为五步：

第一步：请求参数

请求参数包括系统参数和业务参数，不要遗漏
请求参数中不允许出现以Signature为key的参数。参考代码如下```String accessKeyId = “testId”;String accessSecret = “testSecret”;

java.text.SimpleDateFormat df = new java.text.SimpleDateFormat(“yyyy-MM-dd’T’HH:mm:ss’Z’”);df.setTimeZone(new java.util.SimpleTimeZone(0, “GMT”));// 这里一定要设置GMT时区

java.util.Map paras = new java.util.HashMap();// 1. 系统参数paras.put(“SignatureMethod”, “HMAC-SHA1”);paras.put(“SignatureNonce”, java.util.UUID.randomUUID().toString());paras.put(“AccessKeyId”, accessKeyId);paras.put(“SignatureVersion”, “1.0”);paras.put(“Timestamp”, df.format(new java.util.Date()));paras.put(“Format”, “XML”);

// 2. 业务API参数paras.put(“Action”, “SendSms”);paras.put(“Version”, “2017-05-25”);paras.put(“RegionId”, “cn-hangzhou”);paras.put(“PhoneNumbers”, “15300000001”);paras.put(“SignName”, “阿里云短信测试专用”);paras.put(“TemplateParam”, “{\”customer\”:\”test\”}”);paras.put(“TemplateCode”, “SMS_71390007”);paras.put(“OutId”, “123”);

// 3. 去除签名关键字Keyif (paras.containsKey(“Signature”)) paras.remove(“Signature”);

##### 第二步：根据参数Key排序（顺序）
参考代码如下：

java.util.TreeMap sortParas = new java.util.TreeMap();sortParas.putAll(paras);

##### 第三步：构造待签名的请求串
首先介绍下面会用到的特殊URL编码
这个是POP特殊的一种规则，即在一般的URLEncode后再增加三种字符替换：加号（+）替换成 %20、星号（*）替换成 %2A、%7E 替换回波浪号（~）
参考代码如下：

public static String specialUrlEncode(String value) throws Exception { return java.net.URLEncoder.encode(value, “UTF-8”).replace(“+”, “%20”).replace(“*”, “%2A”).replace(“%7E”, “~”);}


构造待签名的请求串这里有两步动作
第1步，把排序后的参数顺序拼接成如下格式：
* specialUrlEncode(参数Key) + "=" + specialUrlEncode(参数值)
参考代码如下：

java.util.Iterator it = sortParas.keySet().iterator();StringBuilder sortQueryStringTmp = new StringBuilder();while (it.hasNext()) { String key = it.next(); sortQueryStringTmp.append(“&”).append(specialUrlEncode(key)).append(“=”).append(specialUrlEncode(paras.get(key)));}String sortedQueryString = sortQueryStringTmp.substring(1);// 去除第一个多余的&符号

打印上面的sortQueryString结果如下：

AccessKeyId=testId&Action=SendSms&Format=XML&OutId=123&PhoneNumbers=15300000001&RegionId=cn-hangzhou&SignName=%E9%98%BF%E9%87%8C%E4%BA%91%E7%9F%AD%E4%BF%A1%E6%B5%8B%E8%AF%95%E4%B8%93%E7%94%A8&SignatureMethod=HMAC-SHA1&SignatureNonce=45e25e9b-0a6f-4070-8c85-2956eda1b466&SignatureVersion=1.0&TemplateCode=SMS_71390007&TemplateParam=%7B%22customer%22%3A%22test%22%7D&Timestamp=2017-07-12T02%3A42%3A19Z&Version=2017-05-25

对应的未URL编码的值（方便用户对比）：

AccessKeyId=testId&Action=SendSms&Format=XML&OutId=123&PhoneNumbers=15300000001&RegionId=cn-hangzhou&SignName=阿里云短信测试专用&SignatureMethod=HMAC-SHA1&SignatureNonce=45e25e9b-0a6f-4070-8c85-2956eda1b466&SignatureVersion=1.0&TemplateCode=SMS_71390007&TemplateParam={“customer”:”test”}&Timestamp=2017-07-12T02:42:19Z&Version=2017-05-25


第2步，按POP的签名规则拼接成最终的待签名串，规则如下：
* HTTPMethod + “&” + specialUrlEncode(“/”) + ”&” +  specialUrlEncode(sortedQueryString)
参考代码如下：

StringBuilder stringToSign = new StringBuilder();stringToSign.append(“GET”).append(“&”);stringToSign.append(specialUrlEncode(“/“)).append(“&”);stringToSign.append(specialUrlEncode(sortedQueryString));

这就完成了待签名的请求字符串了
打印结果如下：

GET&%2F&AccessKeyId%3DtestId&Action%3DSendSms&Format%3DXML&OutId%3D123&PhoneNumbers%3D15300000001&RegionId%3Dcn-hangzhou&SignName%3D%25E9%2598%25BF%25E9%2587%258C%25E4%25BA%2591%25E7%259F%25AD%25E4%25BF%25A1%25E6%25B5%258B%25E8%25AF%2595%25E4%25B8%2593%25E7%2594%25A8&SignatureMethod%3DHMAC-SHA1&SignatureNonce%3D45e25e9b-0a6f-4070-8c85-2956eda1b466&SignatureVersion%3D1.0&TemplateCode%3DSMS_71390007&TemplateParam%3D%257B%2522customer%2522%253A%2522test%2522%257D&Timestamp%3D2017-07-12T02%253A42%253A19Z&Version%3D2017-05-25


##### 第四步：签名
签名采用HmacSHA1算法 + Base64，编码采用：UTF-8
参考代码如下：

String sign = sign(accessSecret + “&”, stringToSign.toString());

public static String sign(String accessSecret, String stringToSign) throws Exception { javax.crypto.Mac mac = javax.crypto.Mac.getInstance(“HmacSHA1”); mac.init(new javax.crypto.spec.SecretKeySpec(accessSecret.getBytes(“UTF-8”), “HmacSHA1”)); byte[] signData = mac.doFinal(stringToSign.getBytes(“UTF-8”)); return new sun.misc.BASE64Encoder().encode(signData);}

参数说明：
1. accessSecret：你的AccessKeyId对应的秘钥AccessSecret，特别说明：POP要求需要后面多加一个“&”字符，即accessSecret + “&”
2. stringToSign：即第三步生成的待签名请求串
签名后的结果打印如下：

zJDF+Lrzhj/ThnlvIToysFRq6t4=

##### 第五步：增加签名结果到请求参数中，发送请求
注意：签名也要做特殊URL编码

String Signature = specialUrlEncode(sign);// zJDF%2BLrzhj%2FThnlvIToysFRq6t4%3D

最终完整的GET请求HTTP为：

http://dysmsapi.aliyuncs.com/?Signature=zJDF%2BLrzhj%2FThnlvIToysFRq6t4%3D&AccessKeyId=testId&Action=SendSms&Format=XML&OutId=123&PhoneNumbers=15300000001&RegionId=cn-hangzhou&SignName=%E9%98%BF%E9%87%8C%E4%BA%91%E7%9F%AD%E4%BF%A1%E6%B5%8B%E8%AF%95%E4%B8%93%E7%94%A8&SignatureMethod=HMAC-SHA1&SignatureNonce=45e25e9b-0a6f-4070-8c85-2956eda1b466&SignatureVersion=1.0&TemplateCode=SMS_71390007&TemplateParam=%7B%22customer%22%3A%22test%22%7D&Timestamp=2017-07-12T02%3A42%3A19Z&Version=2017-05-25


 ### 三、附加完整的Java签名Demo代码

public class SignDemo {

public static void main(String[] args) throws Exception {
    String accessKeyId = "testId";
    String accessSecret = "testSecret";
    java.text.SimpleDateFormat df = new java.text.SimpleDateFormat("yyyy-MM-dd'T'HH:mm:ss'Z'");
    df.setTimeZone(new java.util.SimpleTimeZone(0, "GMT"));// 这里一定要设置GMT时区
    java.util.Map<String, String> paras = new java.util.HashMap<String, String>();
    // 1. 系统参数
    paras.put("SignatureMethod", "HMAC-SHA1");
    paras.put("SignatureNonce", java.util.UUID.randomUUID().toString());
    paras.put("AccessKeyId", accessKeyId);
    paras.put("SignatureVersion", "1.0");
    paras.put("Timestamp", df.format(new java.util.Date()));
    paras.put("Format", "XML");
    // 2. 业务API参数
    paras.put("Action", "SendSms");
    paras.put("Version", "2017-05-25");
    paras.put("RegionId", "cn-hangzhou");
    paras.put("PhoneNumbers", "15300000001");
    paras.put("SignName", "阿里云短信测试专用");
    paras.put("TemplateParam", "{\"customer\":\"test\"}");
    paras.put("TemplateCode", "SMS_71390007");
    paras.put("OutId", "123");
    // 3. 去除签名关键字Key
    if (paras.containsKey("Signature"))
        paras.remove("Signature");
    // 4. 参数KEY排序
    java.util.TreeMap<String, String> sortParas = new java.util.TreeMap<String, String>();
    sortParas.putAll(paras);
    // 5. 构造待签名的字符串
    java.util.Iterator<String> it = sortParas.keySet().iterator();
    StringBuilder sortQueryStringTmp = new StringBuilder();
    while (it.hasNext()) {
        String key = it.next();
        sortQueryStringTmp.append("&").append(specialUrlEncode(key)).append("=").append(specialUrlEncode(paras.get(key)));
    }
    String sortedQueryString = sortQueryStringTmp.substring(1);// 去除第一个多余的&符号
    StringBuilder stringToSign = new StringBuilder();
    stringToSign.append("GET").append("&");
    stringToSign.append(specialUrlEncode("/")).append("&");
    stringToSign.append(specialUrlEncode(sortedQueryString));
    String sign = sign(accessSecret + "&", stringToSign.toString());
    // 6. 签名最后也要做特殊URL编码
    String signature = specialUrlEncode(sign);
    System.out.println(paras.get("SignatureNonce"));
    System.out.println("\r\n=========\r\n");
    System.out.println(paras.get("Timestamp"));
    System.out.println("\r\n=========\r\n");
    System.out.println(sortedQueryString);
    System.out.println("\r\n=========\r\n");
    System.out.println(stringToSign.toString());
    System.out.println("\r\n=========\r\n");
    System.out.println(sign);
    System.out.println("\r\n=========\r\n");
    System.out.println(signature);
    System.out.println("\r\n=========\r\n");
    // 最终打印出合法GET请求的URL
    System.out.println("http://dysmsapi.aliyuncs.com/?Signature=" + signature + sortQueryStringTmp);
}
public static String specialUrlEncode(String value) throws Exception {
    return java.net.URLEncoder.encode(value, "UTF-8").replace("+", "%20").replace("*", "%2A").replace("%7E", "~");
}
public static String sign(String accessSecret, String stringToSign) throws Exception {
    javax.crypto.Mac mac = javax.crypto.Mac.getInstance("HmacSHA1");
    mac.init(new javax.crypto.spec.SecretKeySpec(accessSecret.getBytes("UTF-8"), "HmacSHA1"));
    byte[] signData = mac.doFinal(stringToSign.getBytes("UTF-8"));
    return new sun.misc.BASE64Encoder().encode(signData);
}

}````

HTTP协议及签名