鉴权说明

鉴权说明

1. 引言

本文档旨在指导如何对接单多啦系统的API接口。对接过程中，需要对HTTP请求进行签名计算，以确保请求的合法性和安全性。

在收单机后台创建租户。

在菜单【接口应用】新建应用，选择类型：三方接口。

应用创建后，直接复制AppID和AppSecret。若密钥泄露，应立即重置。

为了在HTTP请求中进行身份验证，需要在请求头信息中添加authorization字段。authorization由以下几部分组成：

AppID：由单多啦系统颁发的，用于标识请求来源的应用的唯一标识符。

时间戳（time）：当前的时间戳，以毫秒为单位，用于确保请求的时效性。

UUID：一个36位的字符串，用于唯一标识每一次请求，防止请求被重复处理。

请求行（request-line）：HTTP请求的方法和路径，如POST /v2/ddl/api/xxxx。

这些信息按照特定的格式拼接后，使用HMAC-SHA256算法和AppSecret进行签名，得到签名后的摘要signature_sha。然后，将拼接好的原始签名信息authorization_origin进行Base64编码，形成最终的authorization值。

以下是构造authorization字段的步骤：

拼接原始签名信息（signature_origin）

signature_origin由 uuid，time，request-line三个参数按照格式拼接成，拼接的格式为(\n为换行符,’:’后面有一个空格)

signature_origin = "apiKey:uuid:time:request-line"

使用AppSecret进行HMAC-SHA256签名

signature_sha = hmac-sha256(signature_origin, AppSecret)

拼接Authorization字段

authorization_origin = "apiKey:uuid:time:signature_sha"

Base64编码

authorization = base64(authorization_origin)

设置HTTP请求头

headers['authorization'] = authorization

以下是Java的示例代码：