深入剖析游戏API对接中最常见的“Invalid signature”签名失败报错。详细解析参数排序、字符串拼接规则与SHA256加密排查步骤,附带时间戳容错率处理方案。
本文详细解析加密对接报错。关于系统搭建的全盘布局,请回看主线篇:《PG/PP/JILI开发全攻略:API对接防坑全记录与实战经验总结》。
遇到 Invalid Signature,请马上停止无意义的重试
“为什么我的参数全加上了,密钥也没错,永远给我返回 Signature Error?” 这是99%对接 PG 和 PP 接口的程序员都会面临的崩溃瞬间。官方网关不会告诉你到底哪个参数错了,只会无脑拒绝。排查这个问题,请严格按照以下三步给代码做“体检”。
排查一:字典序排序的暗礁
各大游戏API通常要求:“将所有非空的 POST 请求参数,按参数名的英文字母进行升序排列 (A-Z)”。
很多人直接使用了后端语言自带的排序函数,但坑就在这里!有些内置函数的排序是基于ASCII码值的,大写字母和小写字母混杂时的排序结果,可能和官方规定不一样。请务必将排好序的字符串打印进本地Log,手动对着官方给出的示例字符串,哪怕拿着放大镜也要逐个字母核对。
排查二:不要去加密请求的Body体!
当你把参数拼接成字符串如 amount=100&gameId=123&player=test 之后,经常要在末尾拼接加密密钥 (Secret Key)。很多人在此步把拼接方式弄错,比如多加了空格、把 & 符弄丢了。
另外,记得是拿【拼接好的原文 + 你的密钥】去做 MD5 或 SHA256 哈希计算,算出来的值通常要求转换为**全小写字母**再发过去。
排查三:致命的时间戳 (Timestamp) 容错限制
如果算法核对了几百遍还是错,请看你的时间戳!绝大多数东南亚游戏大厂的服务器出于防重放攻击的目的,限制了时间戳误差不得超过 3 分钟(甚至 60 秒)。这就意味着:如果你的云服务器系统时间没有开启 NTP 自动网络校时功能,走时慢了两分钟,那么你每次发出来的请求,签名永远是失败的,直接被对方网关抛弃。