API 验证签名时，若 payload 的 json value 为复杂对象时该如何处理？

@index90 你里面的 AccessKey 是什么？相当于服务器给客户端分配的 client_id?

also24 讲得不错。刷 v2 涨姿势系列。

@chenqh 对，有些地方叫 appid，有些地方叫 clientid

我猜，这是 LZ 看到的：
jsonObject -> sendRequest(jsonObject) -> client -> server -> handleRequest(jsonObject)

LZ 对 request body 签名的理解：
jsonObject -> sign(encode(jsonObject)) -> sendRequest(jsonObject) -> client -> server -> handleRequest(jsonObject) -> verify(encode(jsonObject), sign)

但实际上是：
jsonObject -> sendRequest(jsonObject) -> body = encode(jsonObject) -> post(body) -> client -> server -> recv(body) -> jsonObject = decode(body) -> handleRequest(jsonObject)

对 request body 签名的正确理解：
jsonObject -> sign(encode(jsonObject)) -> sendRequest(encode(jsonObject)) -> client -> server -> handleRequest(jsonString) -> verify(jsonString, sign)

@LinJunzhu 我尽力了
既然你上来是找答案的，别人已经给了你经过实践验证的答案，那就先实践，遇到问题再提问。你都没解决方案了，你还没试过别人给的方案就忙于反驳，这是真的如你提问中所说，想看看别人怎么做的么？

有一堆闲着没事干的程序员也想到这个问题，于是他们规范这种复杂 JSON，取名叫 JWT(JSON Web Token)，可以去看看。不仅涉及到规范化，还有防止 JSON 被改动

先加密，加密一下就和顺序没关系了。然后对密文做签名，服务端使用同样的签名方法进行验证。

把子对象变成 json 字符串

在解析成 JSON 之前，是 string 的阶段。

我感觉你是不是自己给自己设置障碍？你就把整个 json 这个字符串当作一个 vlaue 有什么问题吗？你只需要验证这个字符串没有被改就可以了？何必需要自己解析后再序列化比较呢？

就是 1 楼给你的方案。

@index90

我自己实现过 HTTP 代理服务，所以对 HTTP 协议自认为还是理解的。

你说的 request body，我完全懂，并没有误会成 object -> request body。

为什么不想直接对 request body 进行签名，是因为部分 Http 库并不支持直接设置 json string 作为 request body，而是通过设置对象，再由 Http 库自己转为 json string -> request body。

因为想要一个约定俗成的方案，所以想看看大家的做法，现在我知道了哈哈

非常感谢你的答复 ：）

@also24

我自己实现过 HTTP 代理服务，所以对 HTTP 协议自认为还是理解的。

你说的 request body，我完全懂，并没有误会成 object -> request body。

为什么不想直接对 request body 进行签名，是因为部分 Http 库并不支持直接设置 json string 作为 request body，而是通过设置对象，再由 Http 库自己转为 json string -> request body。

因为想要一个约定俗成的方案，所以想看看大家的做法，现在我知道了哈哈

非常感谢你的答复 ：）

// 这个应该是你想要的

private static String sign(HashMap<String, Object> parameters) throws Exception {
List<String> keys = new ArrayList<String>(parameters.keySet());
Collections.sort(keys, new Comparator<String>() {
@Override
public int compare(String s1, String s2) {
return s1.compareTo(s2);
}
});

StringBuilder signature = new StringBuilder("");
for (String key : keys) {
if (key.equalsIgnoreCase("sign")) {
continue;
}
signature.append(key);
Object value = parameters.get(key);

if (value instanceof HashMap) {
signature.append(sign((HashMap<String, Object>) value));
continue;
}

if (((String) value).equals("")) {
continue;
}

signature.append((String) value);
}
return signature.toString();
}

@LinJunzhu #52
无奈脸，所谓的设置 JSON 对象设置的是什么？

就是一个正常的 http post，以 JSON String 作为字符串 body，
再覆盖 header 里的 Content-Type 为 "application/json" 嘛……
自己手动处理下 header 不就好了么…………

requests / okhttp 它们自己也是这样干的啊……

https://github.com/psf/requests/blob/master/requests/models.py#L463

https://github.com/square/okhttp/blob/master/samples/guide/src/main/java/okhttp3/guide/PostExample.java#L15

如果不想这么处理，一定要传 JSON Object 给框架，那么相同的思路我在 6 楼和 10 楼提到的 JSON String 的方式，实质上是一致的。

这年头还有不支持直接设置 raw data 作为 body 的 http 库？涨知识了

@LinJunzhu 通常

{
"aello": "world",
"bello": {
"hi": "hi"
}
}

这样的拼成 aello=world&bello.hi=hi

@mxalbert1996 #55 可能楼主试过直接传 json 字符串，但是服务器端不解析（因为没设置 content type

参考苹果支付接口，payload 是一串转码加密后的信息。可以用 base64 编码一下啊

json 排序后签名实属蛋疼，此类功能应在拦截器 /中间件上实现，对业务是完全透明的

想太多了，拿最原始的数据计算签名不就好了，为什么非要解析完