由于传递端和接收端都认为HTTP协议的请求参数是无序的,因此客户端与服务端双方需要约定好参数的排列方式。请求的参数经过排序后,再将参数名称和值经过一定的策略组织起来,加上一个密钥secret,也就是所谓的“盐”,然后通过约定的摘要算法生成摘要,传递给服务端。
针对每次请求和相应,按照一定的规则生成数字摘要,数字摘要需要涵盖客户端与服务端通信的内容,以及双方约定好的“盐”,一次来保障请求与相应不被第三方篡改。常见的摘要包括MD5,SHA等。
在服务器端接收到客户端传递的参数后,服务端会采用与客户端相同的策略对参数进行排序,并加上相同的secret,采用相同的摘要方式生成摘要串。由于相同内容进过相同的摘要算法,生成的摘要内容必定相同。将服务端生成的摘要与客户端生成的摘要进行比较,这样可以得知参数内容是否被篡改。