最近有朋友在用淘宝的API做东西,开发完成从沙箱迁移去正式环境,相同的代码得到错误提示Invalid Signature。
去open.taobao.com翻了一下文档,有一篇签名的生成规则,恩,淘宝制定了一套规范来生成signature,也就是http请求中sign参数的值。
规范本身很简单,只是很难书面描述清楚,给个例子,假设http请求是:http://gw.api.taobao.com/router/rest?app_key=1234567&product=name,price,id&method=product.search&sign_method=md5&v=2.0
需要做以下事情来生成signature:
1。把http的所有参数,也就是http://gw.api.taobao.com/router/rest?后面的东西,拷下来作为一个string,然后去掉所有的"&"和"=",得到字串:app_key1234567productname,price,idmethodproduct.searchsign_methodmd5v2.0
2。把淘宝给你的app secret加在字串的前、后,假设secret是“taobao_app_secret”,那么得到字串就是:
taobao_app_secretapp_key1234567productname,price,idmethodproduct.searchsign_methodmd5v2.0taobao_app_secret
3。对刚才得到的字串做md5,得到摘要,就是signature,假设得到abcdef。然后需要在http请求后加一个&sign=abcdef
朋友试过N次,仍然得到Invalid signature,看了看程序,md5结果应该是对的。仔细对照淘宝api工具生成的请求,发现一个陷阱。淘宝服务器收到请求后,会做一个校验,也就是把刚才生成signature的过程做一边,如果得到的signature与你上传的sign参数的值不同,就会得到一个invalid signature错误。而这里的陷阱在于,淘宝服务器会先对http参数做一个排序,如果你本地的排序与淘宝不同,那么signature当然不会对。
利用淘宝的api测试工具可以很容易的看到它的排序:
例如某个api的顺序就是这样滴:
app_key=1234567
format=xml
method=taobao.shopcats.list.get
sign_method=md5
timestamp=2010-06-22 11:04:15
v=2.0
sign=AD64DFFCBB86FF3839E6468BB490B404