AI PASS
本文主要讲解了淘宝开放平台提供的API鉴权和Sign两种鉴权方式,帮助开发商快速了解鉴权内容。
API鉴权
API授权验证作为信息时代的安全基石与技术创新的集中体现,其核心价值愈发凸显,成为连接各个数字岛屿的坚固桥梁,它能确保信息在数据海洋中的安全和有序地流动。同时API授权验证机制的核心更在于其对安全协议的严谨遵循与创新应用,OAuth 2.0与OpenID Connect等标准协议的采用,为授权流程设立了统一的规范,确保了不同系统间交互的安全性和兼容性。
综上所述,可以理解为是淘宝组件向对应的 HTTP 发起请求后,如何向对应的 HTTP 接口表明身份。
示例:
这样配置之后,就会在插件发出的每一个请求都带上这样的参数。
Sign鉴权
调用时的入参新增 sign_timestamp 和 sign 。
注意:选择签名选项后,不要配置同名入参 sign_timestamp 和 sign 。
选中这个选项后,在能力项配置的入参、 sign_timestamp 参数名顺序排序,然后把参数名和参数值拼接在一起。然后用 HMAC_SHA256 算法进行签名。把签名值放在配置指定的位置中。
示例:
校验时间戳
从 queryString 中取出 sign_timestamp,是 long 类型的毫秒级时间戳。
校验签名
首先从 body header queryString 中,从 queryString、body,、header 中,获取在入参配置中配置好的入参的 k 和 v,进行排序。然后拼接为 key1=value;key2=value2 的形式的字符串,然后用 HMAC-SHA256 算法进行摘要。
