服务商发布的SaaS类商品,接入阿里云市场时,服务商需要进行对接SPI对接,根据需要实现SPI相关的接口定义。用户在云市场购买对应商品支付后,云市场会回调服务商对应的SPI实现,开通应用实例,从而为用户提供服务。SPI的每次调用都必须进行安全校验,本文为您介绍 SPI 的安全令牌方案。

适用对象

适用主动推送 SPI 方式生产的 SaaS 类商品。

安全方案

每次接口调用都必须进行安全校验,SPI的安全令牌就是接口URL的token参数,服务商根据URL的token参数值进行校验。

token值生成方式:取所有的 HTTP GET 请求参数(不包括 token 参数),对参数名进行字典排序,在字符串的最后加上 &key={服务商的安全密钥} ,然后对整个字符串进行 MD5 加密。

说明
  1. 云市场在调用接口时,可能会新增其它参数,因此在校验签名时,请取URL的所有请求参数(不包括 token 参数),再按规则生成 token值。
  2. 服务商的安全密钥可登录云市场商家后台,在概览页中查看。
云市场在调用接口时,可能会新增其它参数,因此在校验签名时,请取URL的所有请求参数(不包括 token 参数),再按规则生成 token值。

示例

假设请求为:
https://www.isvwebsite.com/api?p1=xxx&p2=xxx&p3=xxx&token=xxx
说明 token值 = "p1=xxx&p2=xxx&p3=xxx".MD5()