为了应用的有效性，以及服务的安全性，特使用了应用验签，签名使用了sha1加密。 签名参数包含 AppId AppSecret timestamp 当前时间戳 signaturenonce 随机字符串 提交时的签名signature由以上参数排序后sha1加密而来的。 生成签名的时候需要用到AppSecret，但是提交请求的时候不提交AppSecret 会在服务端获取正确的AppSecret后生成签名，进行对比验签 关键代码如下 ``` // 生成签名 const getSign = function(data) { // 这只是一个简单的鉴权功能,适用于app和小程序，h5尽量不要使用，appsecret明文泄密（可以尝试JS混淆加密），形同虚设。 // 客户端：获取签名的流程 取得当前时间戳timestamp，随机字符串SignatureNonce，配合上appid和appsecret组成一个对象，和传过来的data参数合并，序列化后用sha1加密的到的就是signature签名，注意appsecret不传递到服务器 // 服务端解密：信息通过header传递，服务器获取后，根据传递的appid 查询 appsecret，查询不到直接出抛异常，再合上传递过去的所有参数，序列化sha1加密后和signature对比，如果一致则验签通过。 let Sign, timestamp = parseInt((new Date()).getTime() / 1000), SignatureNonce; //生成SignatureNonce，可以在这里处理一下 SignatureNonce = sha1("lwwan_key_" + getrandomNum(5) + getrandomNum(6)); let str = { appid: AppId, timestamp: timestamp, appsecret: config.MARK, signaturenonce: SignatureNonce, } //合并参数 var objstr = jsonSort(getExtend(str,data)); Sign = { appid: AppId, signaturenonce: SignatureNonce, timestamp: timestamp, signature: sha1(objstr) //签名 } return Sign; } // 随机数 const getrandomNum = function(num) { let rnd = ""; for (let i = 0; i < num; i++) rnd += Math.floor(Math.random() * 10); return rnd; } // 合并对象 const getExtend = function(target, source) { for (var obj in source) { target[obj] = source[obj]; } return target; } // 对象序列化 function jsonSort(jsonObj) { let arr = []; for (var key in jsonObj) { arr.push(key) } arr.sort(); let str = ''; for (var i in arr) { str += arr[i] + "=" + jsonObj[arr[i]] + "&" } return str.substr(0, str.length - 1) } ```