API接口入门（二）：API接口的签名验签和加解密原理

本文目录：
想象一个场景：一位许久不见的好兄弟，突然在微信里面跟你说“兄弟，借我1万应急呗”，你会怎么反应？

我想大部分人马上的反应就是：是不是被盗号了？他是本人吗？

实际上这是我们日常生活中常见的通讯行为，系统间调用API和传输数据的过程无异于你和朋友间的微信沟通，所有处于开放环境的数据传输都是可以被截取，甚至被篡改的。因而数据传输存在着极大的危险，所以必须加密。

加密核心解决两个问题：
古代人写信通过邮差传信，路途遥远，他们为了避免重要的内容被发现，决定用密文来写信，比如我想表达“八百标兵上北坡”，我写成800north，并且收件人也知道怎么阅读这份信息，即使路上的人截取偷看了，也看不懂你们在说的什么意思。同时我在文末签上我的字迹，在盒子里放上我的信物（比如一片羽毛等等），这样收件人也就知道这份信是我寄出的了。

这被称为“对称性密码”，也就是加密的人用A方式加密，解密的人用A方式解密，有什么缺点呢？

如果你经常传输，这就很容易被发现了密码规律，比如我很快就知道你寄信都会带上一片羽毛，那我以后也可以搞一片羽毛来冒充你了。加上，如果我要给很多人寄信，我就要跟每个人告诉我的加密方式，说不准有一个卧底就把你的加密方式出卖了。

因为互联网传输的对接方数量和频率非常高，显然搞个对称性密码是不安全的。于是，基于对称性密码延伸出“非对称密码”的概念。
通俗的解释：A要给B发信息，B先把一个箱子给A，A收到之后把信放进箱子，然后上锁，上锁了之后A自己也打不开，取不出来了，因为钥匙在B的手里，这样即使路上被截取了，别人也打不开箱子看里面的信息，最后B就能安全地收到A发的信了，并且信息没有泄露。

现在我们以一个单向的A发信息给B的场景进行深入了解公私钥工作原理。

总结：

（1）签名会被任何人获取，但因为签名内容不涉及核心内容，被获取破解是OK的。

（2）重要内容只能接收方解密，任何人获取了都无法解密。

（3）接收者B只有验证签名者是A的信息，才会执行接下来的程序。阿猫阿狗发来的信息不予执行。

捣局者C可能的情况：

（1）他获取到这条信息是A发出的，但看不明白加密的内容。

（2）他可以也用接受者B的加密方法c向接收者B发信息，但他无法冒充发送者A的签名，所以B不会接受C的请求。

（2）公私钥的非对称加密+session key对称加密
上一小节解释的公私钥加密是标准和安全的，但因为这类非对称加密对系统运算的需求比较大，在保证安全的前提下，还是尽量希望提升程序响应的时效。所以目前主流应用的另一种加密方式是公私钥的非对称加密+session key对称加密。
（1）当B向A发出临时有效的加密方法之后，通讯的过程变为了对称加密；

（2）这类加密方式的核心是时效性，必须在短时间内更新，否则固定的规律容易被获取破解。

捣局者C可能的情况：

（1）他获取到B发出的session key的加密文件，无法破解session key是什么。因为解密方法在A手上；

（2）通过各种手段，C破解出session key的加解密方法，但因为时效已到，session key更新，C徒劳无功；

（3）C在时效内破解出session key，但无法冒充A的签名。

以上是2种常见的加解密方式，每个开放平台会在概述中最开始介绍API调用的安全加解密方法，这是每个对接过程中必须的准备流程，如微信企业平台在概述中就已介绍利用第2种方法（企业微信命名为access_token）进行加解密传输。
以上就是API签名验签和加解密的基本原理，接下来我会继续更新API的请求方式等问题，同时以企业微信，微信开放平台等大型开放平台的业务解释各平台支持的现有功能。

综上，水平有限，如有纰漏，敬请指出。

作者：就是爱睡觉；已任职电商和金融业行业的产品岗位3年时间，目前业务以TO B业务为主，文章是用于记录自己在产品工作的思考和想法，希望有想法的小伙伴共同交流。

题图来自Unsplash，基于CC0协议

CA标证通的缺点包括：
1、安全性较低，有可能遭受钓鱼等攻击。
2、系统不太稳定，容易出现卡顿。
3、使用不太方便，很容易出现 *** 作失误。

网银签名失败有可能是以下几种原因：
1、证书过期或损坏，本人携带身份z和yhk到银行网点，重新办理更新证书。
2、网络问题导致未正确安装证书，建议删除原有的证书并重新安装 。
3、输入口令错误导致失败，数据签名有两种，一是静态的一是动态的，转帐付款时系统会提示输入口令卡上的对应数字或字母，需要仔细校对以免出错失败。
4、农行卡在银行柜台开通网上支付功能才能进行支付，否则也会导致失败。

证书更换办法：
1 带身份z和yhk到银行重新办理，不收费，不需要更换K宝；
2 回去重新下载证书；
3 删除原有的过期证书（ie设置里——内容——证书，可以看到新的和旧的证书的有效期，然后就可以正常使用了。
使用网上银行应该注意：
1、登录正确的网上银行网站。直接在浏览器中输入银行网站地址进入网站页面，并将该网址添加至您的收藏夹，方便下次使用。
2、不要通过其他网站链接访问网银网站。如果发现仿冒银行网站，请立即向银行举报。
3、查看安全锁。使用个人网上银行服务时，请您留意IE浏览器右下角状态栏上显示的小锁头图案，这个标志表明您的交易受到加密措施的保护。
4、不要轻易透露账号和密码。不要向任何人透露账号、密码信息、不要相信任何通过电子邮件、短信、电话等方式索要账号和密码的行为。已经向不明人员或网站提供账号及密码的持卡人，请立即通过网上银行或柜面服务修改密码，或通过发卡银行客户服务电话申请密码挂失。尽可能不要有公共场所如网吧使用网上银行，完成网银业务中途离开时，要及时退出网银页面。
5、设置复杂的密码作为单独的网上银行密码。不采用简单的数字排列、生日、电话号码、身份z证号码、家庭住址门牌号、邮编号等有关个人信息数字作为密码。将您的网上银行密码与其他用途的密码区分开，不要采用同一密码。
6、定期查询账户余额和明细。如果发现异常交易或账务差错，安装防火墙和杀毒软件，并定期更新杀毒软件，防范您的电脑受到恶意攻击或病毒的侵害。
7、访问您的发卡银行网上银行网站。您可以获取到最新的网上银行安全常识。

不要钱。新点标证通遵循免费开放、全覆盖、无缝衔接的原则，所有用户都可以免费使用。可以实现移动支付、网上购物、车辆进出小区等多种应用场景，它也是一款集支付、对账、权限管理为一体的智能标识产品，可以帮助企业节省大量成本，提升工作效率。

不一样。
标证通是一个集成多CA的移动数字证书平台，通过手机即可在线申领各地电子招投标平台所需的数字证书，以及完成招投标过程中的身份认证、电子签章、文件加解密等业务功能。CA 也拥有一个证书（内含公钥和私钥）。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。
如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X509 国际标准。

1、首先收到需要确保电脑连接网络，打开“浏览器”。
2、其次打开进入浏览器后，在上面的输入框输入需要下载的软件，输入完成后点击后面搜索按钮。
3、然后搜索完成后就可以看见下面可以下载软件的网址连接了。
4、最后点击“立即下载”即可。

---