引言
最近的工作中涉及到第三方对接,用户在第三方的平台进行某些操作后,第三方会调用我们提供的回调接口通知,然后我们再进行一些业务上的处理,比如奖励发放等。通过这篇文章总结自己设计回调接口的一些思路。
接口设计
1、请求方式
为了方便扩展以及参数上的考虑,请求方式为 POST,Content-Type 为 application/json 。
2、参数定义
下面列举一些必要的请求参数:
| 参数 | 类型 | 说明 |
|---|---|---|
| requestId | String | 请求 ID,第三方自定义,每次请求唯一,用于幂等性处理 |
| userId | String | 用户 id |
| appKey | String | 媒体公钥 |
| timestamp | Long | 用于签名的时间戳,毫秒 |
| sign | String | 签名,32 位小写,MD5(requestId + userId + appKey + appSecret + timestamp) |
| ext | JSONObject | 额外参数,方便后续扩展 |
注:用于签名的 appKey 和 appSecret 通过其他方式给到第三方,appKey 和 appSecret 一一对应。
3、接口设计
参数校验
对参数进行非空判断和其他校验,过滤无效的请求。
时效限制
将 timestamp 与当前时间进行判断,超过 5 分钟则不处理该请求。该限制主要出于安全上的考虑。
签名校验
对部分参数使用哈希算法计算出签名,其中 appSecret 为公开的媒体私钥,和 appKey 一一对应。通过验签过滤无效或者非法的请求。
可以使用 MD5 以外的其他哈希算法。
签名参数可以先排序再哈希。
幂等性
为了避免第三方重复调用,或者用户以非正常方式重复触发请求,需要对请求进行幂等性处理,确保多次请求的结果一致。
使用 Redis 来保存每次请求的 requestId。每次请求判断 Redis 中是否存在对应的 key,如果存在则拒绝当前请求,否则保存本次请求的 requestId。
根据具体业务对多次请求的情况进行处理,避免重复请求导致异常,比如奖励超发等。
错误码
针对不同的异常情况设计合理的错误码和错误信息,并通过接口返回。能够提高第三方对接效率,并且能够针对部分异常情况进行特殊处理,比如重发请求等。
示例代码
PHP
<?php
$request_id = $_POST['requestId'];
$user_id = $_POST['userId'];
$sign = $_POST['sign'];
$app_key = $_POST['appKey'];
$timestamp = $_POST['timestamp'];
// 参数校验,略
// 时效性验证
if (time() * 1000 - $timestamp > 300000) {
$arr = array('code' => '-1', 'msg' => '时效性验证失败');
echo json_encode($arr);
exit();
}
// 从数据库查询 appKey 对应的 appSecret
$app_secret = '';
// 签名验证
$str = $request_id . $user_id . $app_key . $app_secret . $timestamp;
if (empty($sign) || md5($str) != $sign) {
$arr = array('code' => '-2', 'msg' => '验签失败');
echo json_encode($arr);
exit();
}
// TODO 业务实现及异常处理
$arr = array('code' => '0', 'msg' => '成功');
echo json_encode($arr);
?>
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于