前后端交互如何保证安全性？

如果这时候，尝试着将请求中的orderId 换成另外一个orderId, 也会同样对这笔订单做了修改，从安全角度来说这是我们不希望看到的，当然我们也可以加一下身份校验，判断该笔订单是否属于当前的用户；除此之外，我们还应该对请求参数做一次签名处理。

加签和验签就是在请求发送方将请求参数通过加密算法生成一个sign值，放到请求参数里；请求接收方收到请求后，使用同样的方式对请求参数也进行加密得到一个sign值，只要两个sign值相同，就说明参数没有被篡改。

签名参数sign生成的方法

1. 将所有以头参数(注意时所有参数)，出去sign本身，以及值是空的参数，按参数键字母升序排序。
2. 然后把排序后的参数按参数1值1参数2值2......参数n值n(这里的参数和值必须是传输参数的原始值，不能是经过处理的，如不能将"转成"后再拼接)的方式拼接成一个字符串。
3. 把分配给接入方的验证密钥key拼接在第2步得到的字符串前面。
4. 在上一步得到的字符串前面加上密钥key(这里的密钥key是接口提供方分配给接口接入方的)，然后计算md5值，得到32位字符串，然后转成大写,得到的字符串作为sign的值放到请求参数里。

举例

现在假设需要传输的数据:/guest/rechargeNotify?p2=v2&p1=v1&method=cancel&p3=&pn=vn(实际情况最好是通过post方式发送)

1. 拼接字符串，首先去除值是空的参数p3，剩下p2=v2&p1=v1&method=cancel&pn=vn，然后按参数名字符升序排序得到字符串：method=cancel&p1=v1&p2=v2&pn=vn。
2. 然后做参数名和值的拼接，最后得到methodcancelp1v1p2v2pnvn。
3. 在上面拼接得到的字符串前面加上验证密钥key，假设是abc，得到新的字符串abcmethodcancelp1v1p2v2pnvn。
4. 将上面得到的字符串进行md5计算，假设得到的是abcdef，然后转为大写，得到ABCDEF这个值即为sign签名值。最终产生的url应该如下：/guest/rechargeNotify?p2=v2&p1=v1&method=cancel&p3=&pn=vn&sign=ABCDEF
5. 注意：计算md5之前请确保请求发送方和接收方使用的字符串编码一致，比如统一使用utf-8编码，如果编码方式不一致则计算出来的签名会校验失败。

验签过程

其实就是将请求url按照上述的规则进行同样的操作，计算得到参数的签名值，然后和参数中传递的sign值进行对比，如果一致则校验通过，否则校验不通过。

对请求和响应进行加解密

可能有人会问，都使用了https了，为什么还要对请求和响应再做一次加解密，因为有些第三方抓包工具，例如Charles 通过某些手段是可以抓取https的明文的，因此对一些敏感数据，我们需要进行加密处理，常见的加解密方式有AES 对成加密方式和RSA非对成方式，至于如何运用，可以参考https的原理，有点复杂，不过可以简单分成如下几步：