最近, 在客户端利用hmac生成了signature, 并利用工具确认, signature生成正确, 但是, 当把参数和signature发到服务端进行校验后, 死活不通过。 问题是, 我看不到服务端长啥样。
思考了一下hmac的逻辑, 大概知道服务端该怎么校验了, 大致来说说:
1. 客户端申请appid和appkey, 然后利用hmac(params, appkey)生成signature, 其中params中包含有appid. 然后把params和sigature发给服务端。
2. 服务端从params中获取到appid, 然后从数据库中查出appkey, 然后和客户端进行相同的动作生成signature, 然后比对两个signature.
居然不一样?
最可能的原因是, 服务端在根据appid找找appkey时候, 不匹配, 甚至根本找不到。 确认了一下, 果然如此, appid和appkey没对应(是产品经理申请后, 给到开发人员手中, 给错了)
了解原理, 还是很有用的。