https請求還需要對參數(shù)做簽名嗎？答案是需要的，但不必須。

https本身基于安全證書傳輸數(shù)據(jù)，在數(shù)據(jù)傳輸過程中已經(jīng)對數(shù)據(jù)做了加密處理，但是他本身屬于傳輸層協(xié)議，所以只能保證傳輸?shù)陌踩浴?/p>

那什么是簽名？

簽名分為加簽和驗簽，客戶端加簽，服務端驗簽?？蛻舳嗽谡{(diào)用接口的時候，對入?yún)凑漳撤N規(guī)則進行MD5計算得到sign值，然后再把該值作為入?yún)l(fā)送給服務端，服務端拿到所有參數(shù)后剔除簽名，再按照同樣的規(guī)則對入?yún)⑦M行MD5計算得到一個MD5值，再和客戶端的MD5值進行比對，比對正確代表驗簽成功，否則驗簽失敗。

例如原始參數(shù)參數(shù)：

{“name”:”臥龍鳳雛”, “sex”:1}

加簽規(guī)則

1，按照參數(shù)屬性key的ASCII排序并以&符號拼接參數(shù)

2，拼接上秘鑰key

3，MD計算得到簽名sign

拼接后的字符串:”name=臥龍鳳雛&age=1000&key” md5后得到 xxxxx,那最終傳給服務端的參數(shù)如下：

{“name”:”臥龍鳳雛”,”age”:1000, “sign”:”xxxxx”}

服務端拿到參數(shù)sign，并對原始參數(shù)加簽，然后比對客戶端的sign，如果比對正確即為通過。

看到這里大家應該明白了，https和加簽是兩種操作方式。

簽名目的1，防止數(shù)據(jù)被篡改

https可以最大限度保證傳輸層的安全，但是證書是有可能泄露的，一旦證書泄露數(shù)據(jù)就等于在裸奔。

數(shù)據(jù)到網(wǎng)關后，做負均衡通過http的方式把請求轉(zhuǎn)發(fā)到下游服務，在轉(zhuǎn)發(fā)的過程中數(shù)據(jù)是不安全的，因為各種原因數(shù)據(jù)可能會丟失或者被篡改。

轉(zhuǎn)賬或者收款場景里如果收款人的卡號在數(shù)據(jù)傳輸過程中，被篡改成別人的卡號，我們服務端是沒法感知到的，所以必須通過驗簽的方式來保證數(shù)據(jù)數(shù)據(jù)一致性，不能被篡改。

2，防止接口被惡意調(diào)用。那是如何防止惡意調(diào)用的呢？加簽一般都是需要給客戶端分配業(yè)務碼和密鑰的，錯誤的業(yè)務碼或者密鑰加簽后的值和服務端的加簽值肯定是不一樣的，長時間一個接口總是驗簽失敗，事有反常必有妖，就得引起注意了。

3，接口冪等

有些地方會用這個秘鑰作為接口冪等的判斷，也是可以的，防止同樣的參數(shù)調(diào)用多次，污染數(shù)據(jù)。

適合簽名的場景

簽名畢竟是影響效率的，所以一般對數(shù)據(jù)較為敏感，安全性要求極高的場景里使用簽名。比如金融，支付，個人信息傳輸?shù)膱鼍袄锉容^適合。

簽名算法

最簡單，也是最普遍的一般都是MD5+秘鑰的方式，這個類似于對稱加密，服務端和客戶端秘鑰都一樣，最安全的方式還是使用RSA非對稱的方式，使用公鑰加密，私鑰解密，可以充分提高安全性。