附录B 消息的鉴权方法

为了防止恶意的攻击,数族开放平台定义了接口的保护方式,约定与数族开放平台之间的消息需要在HTTP消息头中加时间戳和签名,用于对HTTP的消息体进行完整性保护。签名密钥为数族平台为应用生成的accessToken。约定在消息头中包含下面的属性:

  1. Date,消息发送时间戳;

  2. AppID, 应用ID;

  3. Content-MD5,消息签名;

  4. 约定签名的生成方法如下:

      Content-MD5= Base64(MD5(Body+Date+accessToken));
    
      其中accessToken为建立会话时数族开放平台分配的令牌。
    

1. accessToken的获取方法

商户管理人员登录POS运营管理平台,对开发的应用进行配置:

  1. 获得开发应用的appId和appScrt;

  2. 填写服务器地址URL用来接收数族开放平台的事件。

  3. 获取accessToken:

     为了保密appScrt,第三方需要通过一个临时的accessToken为访问数族开放平台的API提供保护,
     accessToken为长度小于512个字符串,有效期通过返回的expire来传达,目前是7200秒之内的值。
     第三方应用使用appId和appScrt调用接口来获取accessToken。
    

2. accessToken的更新过程消息

http请求方式: GET

https://payMgmnt.shuzutch.com/cgi-bin/token? &appId=APPID&secret=APPSECRET

请求说明

参数 是否必须 说明
appId 第三方用户唯一凭证
secret 第三方用户唯一凭证密钥,即appsecret

返回说明

参数 说明
accessToken 获取到的凭证
expires 凭证有效时间,单位:秒

results matching ""

    No results matching ""