附录B 消息的鉴权方法
为了防止恶意的攻击,数族开放平台定义了接口的保护方式,约定与数族开放平台之间的消息需要在HTTP消息头中加时间戳和签名,用于对HTTP的消息体进行完整性保护。签名密钥为数族平台为应用生成的accessToken。约定在消息头中包含下面的属性:
Date,消息发送时间戳;
AppID, 应用ID;
Content-MD5,消息签名;
约定签名的生成方法如下:
Content-MD5= Base64(MD5(Body+Date+accessToken)); 其中accessToken为建立会话时数族开放平台分配的令牌。
1. accessToken的获取方法
商户管理人员登录POS运营管理平台,对开发的应用进行配置:
获得开发应用的appId和appScrt;
填写服务器地址URL用来接收数族开放平台的事件。
获取accessToken:
为了保密appScrt,第三方需要通过一个临时的accessToken为访问数族开放平台的API提供保护, accessToken为长度小于512个字符串,有效期通过返回的expire来传达,目前是7200秒之内的值。 第三方应用使用appId和appScrt调用接口来获取accessToken。
2. accessToken的更新过程消息
http请求方式: GET
https://payMgmnt.shuzutch.com/cgi-bin/token? &appId=APPID&secret=APPSECRET
请求说明
参数 | 是否必须 | 说明 |
---|---|---|
appId | 是 | 第三方用户唯一凭证 |
secret | 是 | 第三方用户唯一凭证密钥,即appsecret |
返回说明
参数 | 说明 |
---|---|
accessToken | 获取到的凭证 |
expires | 凭证有效时间,单位:秒 |