當回調方式為HTTP請求時,您可以通過在HTTP頭部增加鑒權參數,供回調消息接收服務端進行簽名認證,防止非法或無效請求。通過閱讀本文,您可以了解鑒權參數、簽名計算、接收端校驗規則和切換鑒權密鑰的詳情。
使用說明
您可以自行決定是否開啟回調鑒權(建議開啟),開啟或關閉回調鑒權不會影響原有功能。如果開啟回調鑒權,回調時會攜帶所有鑒權相關內容供消息接收服務端進行鑒權使用,這樣可以有效過濾非法請求,增強系統安全性。
鑒權參數
在進行HTTP請求回調時,HTTP頭部增加以下鑒權參數:
參數 | 描述 |
X-ICE-TIMESTAMP | HTTP請求發起時間,用UNIX時間戳表示。 |
X-ICE-SIGNATURE | 簽名字符串,用32位MD5值表示,算法請參見下文。 |
計算簽名字符串
計算X-ICE-SIGNATURE時,需要依賴以下字段:
字段 | 描述 | 示例 |
回調URL | HTTP請求回調地址。 | https://www.example.com/your/callback |
X-ICE-TIMESTAMP | HTTP請求發起時間,使用UNIX時間戳表示。 | 1519375990 |
鑒權密鑰 | 用戶預設的簽名Key,最長32位,必須同時包含大小寫字母和數字。 | Test123 |
將上述三個字段以豎線(|)拼接,再計算MD5值:
MD5Content = 回調URL|X-ICE-TIMESTAMP|鑒權密鑰
X-ICE-SIGNATURE = md5sum(MD5Content)X-ICE-SIGNATURE計算示例如下:
X-ICE-SIGNATURE = md5sum(https://www.example.com/your/callback|1519375990|Test123) = c72b60894140fa98920f1279219b****回調消息接收端校驗規則
回調消息接收端將設置的回調URL、X-ICE-TIMESTAMP和鑒權密鑰字符串進行拼接,然后進行MD5值計算并得到加密串,再將加密串與X-ICE-SIGNATURE字段進行對比,如果不一致,則表示非法請求。
回調消息接收端獲取當前時間,與回調請求所帶的X-ICE-TIMESTAMP字段時間相減,如果值超過服務端所設定的指定時間(例如5分鐘,由服務端自定義),則表示該請求無效。
切換鑒權密鑰
如果您需要切換鑒權密鑰,為了保證回調功能不受影響,消息接收服務端需要在一段時間內兼容新舊鑒權密鑰進行平滑切換,此操作由服務方完成。建議操作順序如下:
定義新鑒權密鑰。
升級回調消息接收服務端,從而兼容新舊鑒權密鑰的鑒權。
在控制臺回調鑒權區域更新鑒權密鑰。
觀察一段時間后,回調消息接收服務端刪除對原來舊鑒權密鑰的兼容,完成切換。