第三方 SaaS 应用接入阿里云市场需要实现相关的接口定义,服务商通过提供接口,获得应用订购成功的信息,从而为购买者开通应用。每次接口的调用都需要做安全校验。本文为您介绍 SPI 接口的安全方案。
适用对象
适用主动推送 SPI 接口方式生产的 SaaS 类商品。
安全方案
每次接口调用都必须做安全校验,都会附加一个 Token,服务商拿到 Token 以后应该对 Token 进行校验。
Token 的生成方式是:取所有的 HTTP GET 请求参数(不包括 Token 参数),对参数名进行字典排序,在字符串的最后加上服务商的安全密钥,然后对整个字符串进行 MD5 加密。
说明
- 云市场在调用接口时,可能会新增其它参数,因此在校验签名时,请取所有的请求参数(不包括 Token 参数),再按照规则生成 Token。
- 服务商的安全密钥可登录云市场商家后台,在概览页中查看。
示例
假设请求为:http://www.isvwebsite.com?p1=1&p2=2&p3=3&token=xxxx
则根据 token 生成规则,token="p1=1&p2=2&p3=3&key=isvkey".toMD5()
在文档使用中是否遇到以下问题
更多建议
匿名提交