第三方 SaaS 应用接入阿里云市场需要实现相关的接口定义,服务商通过提供接口,获得应用订购成功的信息,从而为购买者开通应用。每次接口的调用都需要做安全校验。本文为您介绍 SPI 接口的安全方案。

适用对象

适用主动推送 SPI 接口方式生产的 SaaS 类商品。

安全方案

每次接口调用都必须做安全校验,都会附加一个 Token,服务商拿到 Token 以后应该对 Token 进行校验。

Token 的生成方式是:取所有的 HTTP GET 请求参数(不包括 Token 参数),对参数名进行字典排序,在字符串的最后加上服务商的安全密钥,然后对整个字符串进行 MD5 加密。

说明
  1. 云市场在调用接口时,可能会新增其它参数,因此在校验签名时,请取所有的请求参数(不包括 Token 参数),再按照规则生成 Token。
  2. 服务商的安全密钥可登录云市场商家后台,在概览页中查看。

示例

假设请求为:http://www.isvwebsite.com?p1=1&p2=2&p3=3&token=xxxx

则根据 token 生成规则,token="p1=1&p2=2&p3=3&key=isvkey".toMD5()