工行官方文档

https://open.icbc.com.cn/icbc/apip/api_list.html

签名

1、业务参数转Json字符串

业务参数为AbstractIcbcRequest对象的BizContent部分

哪些是业务参数

如果请求数据要加密，则无需排序，如果请求数据不需要加密，则最好按字典序排序后再转Json字符串，得到S1；

2、公共参数拼装

• 将 app_id、sign_type、charset、format、ca、app_auth_token、msg_id、timestamp参数赋值 ，其中format必须为Json，否则第一步业务参数转Json会返回空；如果有字段为空，则字段直接去掉，比如ca、app_auth_token这两个值，timestamp的格式为yyyy-MM-dd HH:mm:ss的字符串。
• 如果需要加密，则增加encrypt_type字段，字段值为加密算法（如AES，SM4），并将第一步得到的S1字符串加密后，放入biz_content字段中，如果不需要加密，则直接将第一步得到的S1字符串直接放到biz_content中

3、合并公共参数和业务参数，构造待签名字符串

将第二步得到的键值对，按字典序排序，并按GET传参的方式拼接成字符串，并在前面加上请求的URI，最终得到如下待签名的字符串

/api/jft/api/vacct/token/get/V1?app_id=10000000000000197550&biz_content=3cASV3khKSzv3U/oUl2Y5Dw/XLUAdYm6TEm1kTnF17r5oQ/Yg7YabTgkADA8B0Zb0hcAm/QXN4WTUkdnbw7HXxf6nsxUc49k7miVezapIec=&charset=UTF-8&encrypt_type=AES&format=json&msg_id=1659701090056&sign_type=RSA2&timestamp=2022-08-05 20:05:42&sign=HhFUtPczD4MxYsz80DguWXPfIB8ba40qeqSpChJaBz6PWzibIukaeA2ogKjdd4ieTcvFG/od6XgEb6v0iuL3xmUUOB2D6ffm9NpR/gH6WwMx5FksJeIjXY8gFF4AELNqjM0YeH5I0mKb5DuyV6+FyJHgM0l9GHEvX00gRBFyss5HayPQfDgRbqL1wTJ0Z7Wc2VgPnqXSKWuL3wOlm+4T7Qx4VGGoagw12IiEr7P9h/eqOzHbnnXv4XZpMPVUTnLkF/wil9Zk8oFFnSAjp4//NKyePe3wvjY7wteMoWg9TBsYElZPXeCRFf2HMz5yvFGIoMkx3FGOz4QZKvwF+uQpGg==

如果参数有为空的，则不参与签名，字段名也不要。

4、签名

按传的签名算法进行签名，（RSA2使用的是SHA256WithRSA算法，不做摘要）。得到签名字符串参数S2，将签名作为请求接口的参数，参数名为sign，值为签名字符串S2。

请求接口

将第二步的公共字参数、biz_content、第四步的sign，共同组成请求参数的body。以POST的方式（请求头中Content-Type为application/x-www-form-urlencoded）请求工行后端服务，不同的业务接口，biz_content是不一样的，不管参数如何，按键值对往里面塞，最后转成Json字符串

postman截图如下

使用Postman请求接口

我自己试了下是可以的，我用Java没有调用工行SDK也能请求成功

public static void main(String[] args) {

        HttpHeaders headers = new HttpHeaders();
        headers.add("Content-Type", "application/x-www-form-urlencoded");
        MultiValueMap<String, Object> postParameters = new LinkedMultiValueMap<>();
        postParameters.add("app_id", "10000000000000197550");
        postParameters.add("biz_content", "3cASV3khKSzv3U/oUl2Y5Dw/XLUAdYm6TEm1kTnF17r5oQ/Yg7YabTgkADA8B0Zb0hcAm/QXN4WTUkdnbw7HXxf6nsxUc49k7miVezapIec=");
        postParameters.add("charset", "UTF-8");
        postParameters.add("encrypt_type", "AES");
        postParameters.add("format", "json");
        postParameters.add("msg_id", "1659701090056");
        postParameters.add("sign_type", "RSA2");
        postParameters.add("timestamp", "2022-08-05 20:05:42");
        postParameters.add("sign", "HhFUtPczD4MxYsz80DguWXPfIB8ba40qeqSpChJaBz6PWzibIukaeA2ogKjdd4ieTcvFG/od6XgEb6v0iuL3xmUUOB2D6ffm9NpR/gH6WwMx5FksJeIjXY8gFF4AELNqjM0YeH5I0mKb5DuyV6+FyJHgM0l9GHEvX00gRBFyss5HayPQfDgRbqL1wTJ0Z7Wc2VgPnqXSKWuL3wOlm+4T7Qx4VGGoagw12IiEr7P9h/eqOzHbnnXv4XZpMPVUTnLkF/wil9Zk8oFFnSAjp4//NKyePe3wvjY7wteMoWg9TBsYElZPXeCRFf2HMz5yvFGIoMkx3FGOz4QZKvwF+uQpGg==");
        HttpEntity<MultiValueMap<String, Object>> httpEntity = new HttpEntity<>(postParameters, headers);

        Map result = REST_TEMPLATE.postForObject("https://apipcs3.dccnet.com.cn/api/jft/api/vacct/token/get/V1", httpEntity, Map.class);
        System.out.println(result);
    }

返回数据也是正常，将response_biz_content解密后是成功的

result.png

返回值处理

先根据工行提供的公钥和返回数据中的sign进行签名验证，确定返回来自工行，签名验证通过后，将response_biz_content内容按照请求时传的加密算法解密，解密后判断错误码是否成功，成功则解析返回数据。

注意事项

• 待签名字符串要按字典序排序后拼接
• 公共参数为空时，直接将改参数去掉，不参与签名，业务参数不需要，业务参数按实际情况转成Json字符串
• 如果按上述要求处理完后，提示签名验证错误，可能是Http请求方式不对，我在测试的时候，将参数放在URL上，也是提示签名验证失败，用 application/x-www-form-urlencoded的方式就能请求成功
• SDK中参数会进行URLEncode，实际操作时不用编码也可以