签名与安全

算法

• 签名算法：SHA256withRSA
• 请求：商户私钥签名
• 响应：平台私钥签名（调用方用平台公钥验签）

签名串规则

1. 参数名按 ASCII 从小到大排序
2. 排除 sign 字段
3. 值为空的字段不参与签名
4. 嵌套对象扁平化后参与签名
5. 最终拼接格式：k1=v1&k2=v2&...

验证流程

1. 服务端接收请求后先执行参数校验
2. 初始化商户与应用上下文
3. 验签（商户公钥）
4. 校验请求时间窗口
5. 执行业务
6. 对响应体签名并返回

时间与重放建议

• reqTime 使用服务器同步时间
• nonceStr 每次请求唯一
• 建议调用方在网关侧增加幂等控制与超时重试策略

常见错误

• 20052：验签失败
• 10506：参数校验失败
• 20023：配置未启用

更多返回码见 错误码。