本文介绍了通过 HTTP/HTTPS 原生调用金融级实人认证服务接口时,构造请求签名的方法。

对于每一次 HTTP 或者 HTTPS 协议请求,我们会根据访问中的签名信息验证访问请求者身份。具体由使用 AccessKeyID 和 AccessKeySecret 对称加密验证实现。AccessKey 的获取请参见 创建AccessKey

步骤一:构造规范化请求字符串

  1. 参数排序。 将所有公共请求参数按照首字母顺序排序。
    说明 当使用 GET 方法提交请求时,这些参数就是请求 URL 中的参数部分,即 URL 中 ? 之后由 & 连接的部分。
  2. 参数编码。 使用 UTF-8 字符集按照 RFC3986 规则编码请求参数和参数取值,编码规则如下:
    • 不编码以下内容:字符 A~Za~z0~9 以及字符 -_.~
    • 其它字符编码成 %XY 的格式,其中 XY 是字符对应 ASCII 码的16 进制。示例:半角双引号(")对应 %22。
    • 扩展的 UTF-8 字符,编码成 %XY%ZA… 的格式。
    • 空格( )编码成 %20,而不是加号(+)。该编码方式与 application/x-www-form-urlencodedMIME 格式编码算法相似,但又有所不同。如果您使用的是 Java 标准库中的 java.net.URLEncoder,可以先用标准库中 percentEncode 编码,然后将编码后的字符中加号(+)替换为 %20、星号(*)替换为 %2A、%7E 替换为波浪号(~),即可得到上述规则描述的编码字符串。
    private static final String ENCODING = "UTF-8";
    private static String percentEncode(String value) throws UnsupportedEncodingException {
      return value != null ? URLEncoder.encode(value, ENCODING).replace("+", "%20").replace("*", "%2A").replace("%7E", "~") : null;
    }
  3. 使用等号(=)连接编码后的请求参数和参数取值。
  4. 使用与号(&)连接编码后的请求参数,注意参数排序与第 1 步描述一致。

通过以上步骤得到了规范化请求字符串(CanonicalizedQueryString),其结构遵循请求结构的要求。

步骤二:构造签名字符串

  1. 构造待签名字符串 StringToSign。您可以同样使用 percentEncode 处理上一步构造的规范化请求字符串,规则如下:
    StringToSign=
      HTTPMethod + "&" + //HTTPMethod:发送请求的 HTTP 方法,例如 GET。
      percentEncode("/") + "&" + //percentEncode("/"):字符(/)UTF-8 编码得到的值,即 %2F。
      percentEncode(CanonicalizedQueryString) //您的规范化请求字符串。
  2. 按照 RFC2104 的定义,计算待签名字符串 StringToSign 的 HMAC-SHA1 值。示例中使用的是 Java Base64 编码方法。
    Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(StringToSign) ) )
    说明 计算签名时,RFC2104 规定的 Key 值是您的 AccessKeySecret 并加上与号(&),其 ASCII 值为 38。更多信息,请参见 创建AccessKey
  3. 添加根据 RFC3986 规则编码后的参数 Signature 到规范化请求字符串 URL 中。