为什么需要对请求加签/验签？

📌基于安全策略规范，您与 UseePay 的所有交互请求必须在发送与接收环节均通过签名 / 验签机制实施双向核验。

📌发送端需基于特定加密算法生成请求签名，接收端则通过对应验签规则验证签名有效性，从而确保请求数据的真实性与完整性，以防范数据篡改、身份伪造，重放攻击等安全风险。

UseePay支持MD5、RSA、HMAC签名算法。(自建站用户请忽略HMAC秘钥)

请注意

无论是 MD5 还是 RSA 方式, sign 和 value trim后为空的 key-value 都不参与签名计算过程!

1. MD5秘钥

1.1 获取MD5秘钥

在商户后台管理系统 -> 配置中心->密钥管理中点击获取MD5密钥

📌

1.2 MD5签名生成规则

排序

步按照ASCII码升序的方式，对请求的payload进行排序

遍历并拼接

对第一步的排序结果，进行key-value 遍历, 对value trim后不为空的 key-value ，使用 URL 键值对的格式进行拼接，得到(key1=value1&key2=value2&...)格式的字符串

签名

在第2步取到字符串末尾,按照 “&pkey=商户的MD5密钥” 的形式拼接上商户的MD5秘钥, 然后对该字符串进行MD5, 得到的值即为签名值

如下（案例仅演示签名过程，参数值不具备参考意义）

原始请求体

   {
     version = 1.0,
     transactionType = pay,
     appId = 假设这里为空,
     amount = 1234,
     currency = USD
    }

排序后

 {
   amount = 1234,
   appId = 假设这里为空,
   currency = USD，
   transactionType = pay, 
   version = 1.0
 }

遍历并组合后

签名

在上述字符串末尾,按照 “&pkey=商户的MD5密钥” 的形式拼接上商户的MD5秘钥, 然后对该字符串进行MD5, 得到的值即为签名值sign

1.3 MD5加签流程

商户加签：
1）用户获取MD5秘钥
2）用户按照MD5签名生成规则对请求负载生成签名值sign，并在请求中携带sign

UseePay加签：
1）UseePay获取提供给用户的MD5秘钥
2）UseePay按照签名规则对响应数据加签，并在响应数据中携带sign

MD5签名生成示例：

1.4 MD5验签流程

商户验签：
1）商户按照MD5签名生成规则，对UseePay响应的数据进行MD5计算，得到一个计算值。
2）商户将这个计算结果与UseePay响应数据中的sign值进行比对。
比对一致代表来自UseePay的数据未被篡改，可以信任，否则不信任该响应数据。

UseePay验签：
1）UseePay按照MD5签名生成规则，对商户的请求数据进行MD5计算，得到一个计算值。
2）UseePay将计算结果与商户请求中的sign进行比对。
比对一致代表数据未被篡改，可以信任本次来自商户的请求，否则提示验签失败。

MD5验签示例：

2. RSA秘钥

使用RSA签名时，共存在两个密钥对：UseePay密钥对（UseePay提供）和商户密钥对（商户提供）。
两个密钥对的公钥对双方公开，用于加签。私钥各自保密存储，用于验签。

2.1 RSA秘钥准备

2.1.1 生成商户RSA密钥对

访问RSA密钥对生成网站，如 http://www.metools.info/code/c80.html 生成一个RSA密钥对，RSA秘钥的长度为1024bit，秘钥格式为PKCS#8。如下:

2.1.2 上传商户RSA公钥

在商户后台管理系统 -> 配置中心 -> 秘钥管理 -> RSA秘钥处上传RSA公钥
注意, 请将公钥字符串中的首行(-----BEGIN PUBLIC KEY-----)与尾行(------END PUBLICK KEY-----)删除, 然后将中间部分格式化为一行粘贴进去

无格式粘贴：

2.1.3 保存 UseePay RSA 公钥

如上图, 请保存 UseePay RSA 公钥。
UseePay对所有的响应数据, 会使用UseePay RSA私钥进行签名, 并返回 sign 值, 你需要使用此处的UseePay RSA公钥进行验签。

📌

2.2 RSA签名生成规则

排序

步按照ASCII码升序的方式，对请求的payload进行排序

遍历并拼接

对第一步的排序结果，进行key-value 遍历, 对value trim后不为空的 key-value ，使用 URL 键值对的格式进行拼接，得到(key1=value1&key2=value2&...)格式的字符串

签名

对第2步取到字符串, 用之前在网站中生成的商户 RSA 私钥做 base64, 得到一个 sign 值

2.3 RSA加签

UseePay
1）UseePay在向商户响应的数据时，须使用UseePay的私钥进行签名，并在响应数据中携带签名值sign。
2）商户在接收到UseePay的响应数据后，使用UseePay密钥对的公钥（已公开）进行验签，以验证响应数据是否被篡改。

商户
1）商户响应给向UseePay的请求数据，须使用商户RSA的私钥进行签名，并在请求中携带签名值sign。
2）UseePay在收到商户的请求之后，使用商户上传的RSA公钥进行验签，以确保请求数据未被篡改。

RSA签名示例

2.4 RSA验签

RSA验证签名需要按 RSA签名生成规则对 response 生成 URL key-value 格式的字符串, 然后使用 UseePay RSA 公钥进行签名验证。

加签/验签机制

1. MD5秘钥#

1.1 获取MD5秘钥#

1.2 MD5签名生成规则#

1.3 MD5加签流程#

1.4 MD5验签流程#

2. RSA秘钥#

2.1 RSA秘钥准备#

2.1.1 生成商户RSA密钥对#

2.1.2 上传商户RSA公钥#

2.1.3 保存 UseePay RSA 公钥#

2.2 RSA签名生成规则#

2.3 RSA加签#

2.4 RSA验签#