< 文档首页
全部产品
弹性计算
存储服务
数据库
网络
视频与CDN
域名与网站
工商财税 知识产权
应用服务
互联网中间件
移动研发平台EMAS
移动研发平台EMAS-专有云
云通信
安全
大数据
人工智能
ET大脑
物联网
物联网行业方案
数字金融
管理与监控
云市场
API与工具
解决方案
钉钉
会员服务
更多

    HTTP协议及签名

    更新时间:2018-09-26 10:33:54

    ★ 我的收藏
    本页目录

    为方便其它语言能快速实现,在此增加了HTTP的详解

    注:云通信下的四类产品(包括短信、语音、流量、隐私保护),接口协议一致

    一、前言说明

    对应的协议是:

    • 绑定API采用Rest协议:签名算法使用了阿里云的POP协议

    • 发生通话行为后的话单消息回执采用的是阿里云的消息中间件MNS来实现

      二、协议说明

      由于POP的签名算法比较复杂,下面这里结合AXB的绑定API进行详细说明

      2.1 号码隐私保护发送API的HTTP协议包示例

      请求示例:

    1. GET /?Signature=zJDF%2BLrzhj%2FThnlvIToysFRq6t4%3D&AccessKeyId=testId&Action=BindAxb&Format=XML&OutId=123&PhoneNumbers=15300000001&RegionId=cn-hangzhou&SignName=%E9%98%BF%E9%87%8C%E4%BA%91%E7%9F%AD%E4%BF%A1%E6%B5%8B%E8%AF%95%E4%B8%93%E7%94%A8&SignatureMethod=HMAC-SHA1&SignatureNonce=45e25e9b-0a6f-4070-8c85-2956eda1b466&SignatureVersion=1.0&PoolKey=FC123456&PhoneNoA=170000000&PhoneNoB=171000000&ExpireDate=2017-07-12T02%3A42%3A19Z&Timestamp=2017-07-12T02%3A42%3A19Z&Version=2017-05-25
    3. HTTP/1.1
    4. Host: dyplsapi.aliyuncs.com
    5. ...

    返回示例:

    1. HTTP/1.1 200 OK
    2. ...
    3. <?xml version='1.0' encoding='UTF-8'?><BindAxbResponse>
    4. <Code>OK</Code>
    5. <Message>OK</Message>
    6. <RequestId>E8534574-7381-4810-8F70-65B37BBA8970</RequestId><SubsId>108374502347^1111325525761</SubsId>
    7. <SecretNo>1350000000</SecretNo>
    8. </BindAxbResponse>

    2.2 号码隐私保护Rest请求参数

    如HTTP示例包中,请求的参数可以分两大块:系统参数 和 业务参数

    系统参数

    系统参数为POP协议的基本参数,有

    参数KEY 是否必填 说明
    AccessKeyId
    Timestamp 格式为:yyyy-MM-dd’T’HH:mm:ss’Z’;时区为:GMT
    Format 没传默认为JSON,可选填值:XML
    SignatureMethod 建议固定值:HMAC-SHA1
    SignatureVersion 建议固定值:1.0
    SignatureNonce 用于请求的防重放攻击,每次请求唯一,JAVA语言建议用:java.util.UUID.randomUUID()生成即可
    Signature 最终生成的签名结果值
    业务参数
    参数KEY 是否必填 说明
    Action API的命名,固定值,如发绑定AXB:BindAxb
    Version API的版本,固定值,如短信API的值为:2017-05-25
    RegionId API支持的RegionID,如短信API的值为:cn-hangzhou
    PoolKey 具体见API文档描述
    PhoneNoA 具体见API文档描述
    PhoneNoB 具体见API文档描述
    Expiration 具体见API文档描述
    OutId 具体见API文档描述

    2.3 生成签名

    签名是为了让请求合法,共分为五步:

    第一步:请求参数
    1. 请求参数包括系统参数和业务参数,不要遗漏
    2. 请求参数中不允许出现以Signature为key的参数。参考代码如下
    1. String accessKeyId = "testId";
    2. String accessSecret = "testSecret";
    4. java.text.SimpleDateFormat df = new java.text.SimpleDateFormat("yyyy-MM-dd'T'HH:mm:ss'Z'");
    5. df.setTimeZone(new java.util.SimpleTimeZone(0, "GMT"));// 这里一定要设置GMT时区
    7. java.util.Map<String, String> paras = new java.util.HashMap<String, String>();

    ①.系统参数

    1. paras.put("SignatureMethod", "HMAC-SHA1");
    2. paras.put("SignatureNonce", java.util.UUID.randomUUID().toString());
    3. paras.put("AccessKeyId", accessKeyId);
    4. paras.put("SignatureVersion", "1.0");
    5. paras.put("Timestamp", df.format(new java.util.Date()));
    6. paras.put("Format", "XML");

    ②.业务API参数

    1. paras.put("Action", "BindAxb");
    2. paras.put("Version", "2017-05-25");
    3. paras.put("RegionId", "cn-hangzhou");
    4. paras.put("PoolKey", "FC123456");
    5. paras.put("PhoneNoA", "1700000000");
    6. paras.put("PhoneNoB", "1700000000");
    7. paras.put("Expiration", "2017-05-25 00:00:00");
    8. paras.put("OutId", "123");

    ③.去除签名关键字Key

    1. if (paras.containsKey("Signature"))
    2. paras.remove("Signature");
    第二步:根据参数Key排序(顺序)

    参考代码如下:

    1. java.util.TreeMap<String, String> sortParas = new java.util.TreeMap<String, String>();
    2. sortParas.putAll(paras);
    第三步:构造待签名的请求串

    首先介绍下面会用到的特殊URL编码这个是POP特殊的一种规则,即在一般的URLEncode后再增加三种字符替换:加号(+)替换成 %20、星号(*)替换成 %2A%7E 替换回波浪号(~)参考代码如下:

    1. public static String specialUrlEncode(String value) throws Exception {
    2.     return java.net.URLEncoder.encode(value, "UTF-8").replace("+", "%20").replace("*", "%2A").replace("%7E", "~");
    3. }

    构造待签名的请求串这里有两步动作第1步,把排序后的参数顺序拼接成如下格式:

    * specialUrlEncode(参数Key) + "=" + specialUrlEncode(参数值)

    参考代码如下:

    1. java.util.Iterator<String> it = sortParas.keySet().iterator();
    2. StringBuilder sortQueryStringTmp = new StringBuilder();
    3. while (it.hasNext()) {
    4.     String key = it.next();
    5.     sortQueryStringTmp.append("&").append(specialUrlEncode(key)).append("=").append(specialUrlEncode(paras.get(key)));
    6. }
    7. String sortedQueryString = sortQueryStringTmp.substring(1);// 去除第一个多余的&符号

    打印上面的sortQueryString结果如下:

    1. AccessKeyId=testId&Action=BindAxb&Format=XML&OutId=123&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=45e25e9b-0a6f-4070-8c85-2956eda1b466&SignatureVersion=1.0&PoolKey=FC123456&PhoneNoA=170000000&PhoneNoB=17100000000&Expiration=2017-07-12T02%3A42%3A19Z&Timestamp=2017-07-12T02%3A42%3A19Z&Version=2017-05-25`

    第2步,按POP的签名规则拼接成最终的待签名串,规则如下:

    * HTTPMethod + “&” + specialUrlEncode(“/”) + ”&” + specialUrlEncode(sortedQueryString)

    参考代码如下:

    1. StringBuilder stringToSign = new StringBuilder();
    2. stringToSign.append("GET").append("&");
    3. stringToSign.append(specialUrlEncode("/")).append("&");
    4. stringToSign.append(specialUrlEncode(sortedQueryString));

    这就完成了待签名的请求字符串了打印结果如下:

    1. GET&%2F&AccessKeyId%3DtestId&Action%BindAxb&Format%3DXML&OutId%3D123&PhoneNoA%3D17000000000&RegionId%3Dcn-hangzhou&PhoneNob%3D171000000000&SignatureMethod%3DHMAC-SHA1&SignatureNonce%3D45e25e9b-0a6f-4070-8c85-2956eda1b466&SignatureVersion%3D1.0&PoolKey%3DFC123456&Expiration%3D2017-07-12T02%253A42%253A19Z&Timestamp%3D2017-07-12T02%253A42%253A19Z&Version%3D2017-05-25`
    第四步:签名

    签名采用HmacSHA1算法 + Base64,编码采用:UTF-8参考代码如下:

    1. String sign = sign(accessSecret + "&", stringToSign.toString());
    3. public static String sign(String accessSecret, String stringToSign) throws Exception {
    4.     javax.crypto.Mac mac = javax.crypto.Mac.getInstance("HmacSHA1");
    5.     mac.init(new javax.crypto.spec.SecretKeySpec(accessSecret.getBytes("UTF-8"), "HmacSHA1"));
    6.     byte[] signData = mac.doFinal(stringToSign.getBytes("UTF-8"));
    7.     return new sun.misc.BASE64Encoder().encode(signData);
    8. }

    参数说明:

    1. accessSecret:你的AccessKeyId对应的秘钥AccessSecret,特别说明:POP要求需要后面多加一个“&”字符,即accessSecret + “&”
    2. stringToSign:即第三步生成的待签名请求串

    签名后的结果打印如下:

    1. zJDF+Lrzhj/ThnlvIToysFRq6t4=
    第五步:增加签名结果到请求参数中,发送请求

    注意:签名也要做特殊URL编码

    1. String Signature = specialUrlEncode(sign);// zJDF%2BLrzhj%2FThnlvIToysFRq6t4%3D

    三、附加完整的Java签名Demo代码(以云通信短信产品-发送接口为列进行说明,业务参数自行替换成隐私保护绑定接口参数即可)

    1. public class SignDemo {
    3.     public static void main(String[] args) throws Exception {
    4.         String accessKeyId = "testId";
    5.         String accessSecret = "testSecret";
    7.         java.text.SimpleDateFormat df = new java.text.SimpleDateFormat("yyyy-MM-dd'T'HH:mm:ss'Z'");
    8.         df.setTimeZone(new java.util.SimpleTimeZone(0, "GMT"));// 这里一定要设置GMT时区
    10.         java.util.Map<String, String> paras = new java.util.HashMap<String, String>();
    11.         // 1. 系统参数
    12.         paras.put("SignatureMethod", "HMAC-SHA1");
    13.         paras.put("SignatureNonce", java.util.UUID.randomUUID().toString());
    14.         paras.put("AccessKeyId", accessKeyId);
    15.         paras.put("SignatureVersion", "1.0");
    16.         paras.put("Timestamp", df.format(new java.util.Date()));
    17.         paras.put("Format", "XML");
    19.         // 2. 业务API参数
    20.         paras.put("Action", "SendSms");
    21.         paras.put("Version", "2017-05-25");
    22.         paras.put("RegionId", "cn-hangzhou");
    23.         paras.put("PhoneNumbers", "15300000001");
    24.         paras.put("SignName", "阿里云短信测试专用");
    25.         paras.put("TemplateParam", "{\"customer\":\"test\"}");
    26.         paras.put("TemplateCode", "SMS_71390007");
    27.         paras.put("OutId", "123");
    29.         // 3. 去除签名关键字Key
    30.         if (paras.containsKey("Signature"))
    31.             paras.remove("Signature");
    33.         // 4. 参数KEY排序
    34.         java.util.TreeMap<String, String> sortParas = new java.util.TreeMap<String, String>();
    35.         sortParas.putAll(paras);
    37.         // 5. 构造待签名的字符串
    38.         java.util.Iterator<String> it = sortParas.keySet().iterator();
    39.         StringBuilder sortQueryStringTmp = new StringBuilder();
    40.         while (it.hasNext()) {
    41.             String key = it.next();
    42.             sortQueryStringTmp.append("&").append(specialUrlEncode(key)).append("=").append(specialUrlEncode(paras.get(key)));
    43.         }
    44.         String sortedQueryString = sortQueryStringTmp.substring(1);// 去除第一个多余的&符号
    46.         StringBuilder stringToSign = new StringBuilder();
    47.         stringToSign.append("GET").append("&");
    48.         stringToSign.append(specialUrlEncode("/")).append("&");
    49.         stringToSign.append(specialUrlEncode(sortedQueryString));
    51.         String sign = sign(accessSecret + "&", stringToSign.toString());
    52.         // 6. 签名最后也要做特殊URL编码
    53.         String signature = specialUrlEncode(sign);
    55.         System.out.println(paras.get("SignatureNonce"));
    56.         System.out.println("\r\n=========\r\n");
    57.         System.out.println(paras.get("Timestamp"));
    58.         System.out.println("\r\n=========\r\n");
    59.         System.out.println(sortedQueryString);
    60.         System.out.println("\r\n=========\r\n");
    61.         System.out.println(stringToSign.toString());
    62.         System.out.println("\r\n=========\r\n");
    63.         System.out.println(sign);
    64.         System.out.println("\r\n=========\r\n");
    65.         System.out.println(signature);
    66.         System.out.println("\r\n=========\r\n");
    67.         // 最终打印出合法GET请求的URL
    68.         System.out.println("http://dysmsapi.aliyuncs.com/?Signature=" + signature + sortQueryStringTmp);
    69.     }
    71.     public static String specialUrlEncode(String value) throws Exception {
    72.         return java.net.URLEncoder.encode(value, "UTF-8").replace("+", "%20").replace("*", "%2A").replace("%7E", "~");
    73.     }
    75.     public static String sign(String accessSecret, String stringToSign) throws Exception {
    76.         javax.crypto.Mac mac = javax.crypto.Mac.getInstance("HmacSHA1");
    77.         mac.init(new javax.crypto.spec.SecretKeySpec(accessSecret.getBytes("UTF-8"), "HmacSHA1"));
    78.         byte[] signData = mac.doFinal(stringToSign.getBytes("UTF-8"));
    79.         return new sun.misc.BASE64Encoder().encode(signData);
    80.     }
    82. }
    83. `
    上一篇:回执消息-HTTP回调方式
    下一篇:隐私号AXN业务中,是否支持A号码同时又是其他业务小号
    相关文档
    相关产品
    • 号码隐私保护
      号码隐私保护包括AXN、AXB、95AXN三个产品,分别适合不同的业务场景。 AXN隐私号:在不占用手机SIM卡槽的情况下为用户A增加一个第二号码,保护用户A的隐私。 AXB中间号:是为了保护一对一专属服务场景中的用户A、服务方B的隐私,为A、B这一对通话的专属隐私保护功能。 95AXN隐私号:和AXN隐私号功能类似,主要区别在于码号资源;AXN隐私号采用手机号作为X号码,95AXN隐私号采用95扩位码号作为X号码。
    • 云呼叫中心
      云呼叫中心配备了交互式语音应答(IVR),自动呼叫分配(ACD)和大量提升效率的应用,例如100%覆盖的智能质检,简单易用且功能强大的商业智能,以及灵活多变的CRM集成方式。云呼叫中心联合云通信提供一站式服务,您可以自助开通呼叫中心号码,通过灵活简单的操作页面,任何用户都可以轻松设置呼叫中心流程而无需其他技术支持。云呼叫中心为阿里巴巴集团多年来研发积累的内部呼叫中心系统的优化输出,稳定性和可靠性经过历年双十一考验。
    • 语音服务
      语音通知是指通过调用语音呼叫的API,通过阿里云语音服务,从运营商网络向指定号码发起一通呼叫,呼叫被应答后,播放一段指定的音频。根据音频形式的不同,语音通知的API分为两个:1、若播放的音频为固定内容的音频文件(mp3/wav),则调用singleCallByVoice语音文件外呼接2、若播放的音频为带有变量的文本模板,每次调用时根据变量替换值从文本模板转化为音频文件,则调用singleCallByTts语音文本外呼接口。