安全规范
| 商户签名
1)所有发送或者接收到的所有字段,都需要参与签名,但需要排除以下:
a、值为空的字段
b、签名结果字段,通常该字段名为 sign
2)所有字段按照参数名的ASCII码从小到大排序(字典序),使用URLQueryString的格式(即key1=value1&key2=value2…)拼接成字符串StringA;
3)StringA的末尾追加 &key=(API密钥) ,得到StringSrc
4)对StringSrc计算MD5,再转大写,可以得到签名。值填写到请求的 sign字段中。计算签名时,不需要对StringSrc进行encode。
| 随机数算法
目的在于签名原串不可预测;可以调用随机数函数来生成,把得到的值转换为字符串。
| 商户API证书
涉及到商户账户的自动扣款,创建红包需要校验商户证书。商户可登录https://qpay.qq.com, 从【账户安全—>API安全—>API证书】下获取证书
| 商户回调API安全
建议提供 HTTPS协议的接口。