安全规范
商户接入,调用API必须遵循以下规范
| 传输方式 | 为保证交易安全性,采用HTTPS传输 |
|---|---|
| 请求方式 | POST |
| 数据格式 | 使用Json格式 |
| 字符编码 | utf8 |
| 加密算法 | AES (keysize:128) |
| 签名算法 | SHA256WithRSA |
| 签名要求 | 请参考安全规范-签名算法 |
| 证书要求 | 所有接口均需要使用商户api证书 |
| 判断逻辑 | 先判断http状态,再判断接口状态code,最后判断交易状态 |
统一请求头信息
| 字段 | 说明 |
|---|---|
| timestamp | 系统当前时间戳,为毫秒级 |
| nonce | 随机字符串,建议使用UUID |
| access-key | 商户access key,登录商户系统,上传RSA公钥证书之后生成 |
| signature | 数据签名,规则见签名算法 |
签名算法
String signResult = RsaUtil.SHA256WithPrivateKey(signData);
使用RSA私钥对signData用SHA256WithRSA算法进行签名获得签名结果
| 数据 | 说明 |
|---|---|
| url | 请求完整url |
| timestamp | 当前时间戳(毫秒级) |
| nonce | 唯一随机字符串(建议使用UUID) |
| bodyStr | 根据接口文档请求参数封装的Json字符串 |
| RSA私钥 | 商户RSA私钥,与商户平台上传的RSA公钥为一对 |