第三方API对接常见问题

JAVA项目中通常会需要通过对接第三方API来扩展项目业务，如支付，风控，语音识别，图像处理等。但看似简单的发送/接收请求却包含了Http请求，数据加密/解密，签名加签/验签，数据处理等内容。这次通过对接某公司API，也踩了不少坑，跟大家分享一下。

1.文档/demo版本过旧，被对接方服务端代码已经更改，但文档未更新

一般来说，文档的易读程度和更新速度能说明被对接公司技术部门的水平。我见过比较好的公司例如 阿里云，连连支付，FaceId,白骑士等等。但是也有比较坑的，这一点大家就要注意了。

文档里一般有更新时间，最近更新时间距离当前日期越近越好。

如果真的遇到比较老的文档和demo，那就多和对方技术人员沟通，搞不定的地方尽快去问对方技术，不要钻牛角尖。

2.加密方式问题

为了防止被抓包，一般都会使用加密算法来对请求参数进行加密，常见加密方式有，RSA,MD5,ITRUS,DES等等，如果不是有特殊要求，选择优先级 MD5>DES>RAS>ITRUS.  说白了就是怎么简单怎么来。

注意点：

MD5加密方式有好几种类型，一定要弄清楚要对接的接口是MD5 32位 还是 MD5 16位

 JAVA开发的话 RAS加密 **记得进行 PKCS8转码

ITRUS加密注意替换JDK中的两个jar包：
          用无限制扩展包替换 jdk 安装目录下的 local_policy.jar 和 US_export_policy.jar

例如：jdk 安装目录下: C:\Program Files\Java\ jdk1.8.0_31 替 换 文 件 所 在 的 目 录 ： C:\Program Files\Java\ jdk1.8.0_31 \jre\lib\security

jdk8 替换包参考：《jdk 替换包.zip》中《jce_policy-8.zip》

jdk7 替换包参考：《jdk 替换包.zip》中《UnlimitedJCEPolicyJDK7.zip》

jdk6 替换包参考：《jdk 替换包.zip》中《jce_policy-6.zip》

jdk8 替换包下载地址： http://www.oracle.com/technetwork/java/javase/downloads/jce8-downlo ad-2133166.html

jdk7 替换包下载地址： http://www.oracle.com/technetwork/java/embedded/embedded-se/downloa ds/jce-7-download-432124.html

jdk6 替换包下载地址： http://www.oracle.com/technetwork/java/embedded/embedded-se/downloa ds/jce-6-download-429243.html

3.加签验签问题

对参数进行加密签名，通常都需要过滤掉空参数以及字段signType和sign。 一般的demo中都会带的有过滤方法，也可以自己写，难度不大

private static Map<String, String> paraFilter(Map<String, String> oriMap) {
        Map<String, String> result = new HashMap();
        if (oriMap != null && oriMap.size() > 0) {
            Iterator var2 = oriMap.entrySet().iterator();

            while(var2.hasNext()) {
                Entry<String, String> iterator = (Entry)var2.next();
                String value = (String)iterator.getValue();
                if (!StringUtils.isBlank(value) && !((String)iterator.getKey()).equalsIgnoreCase("sign") && !((String)iterator.getKey()).equalsIgnoreCase("sign_type")) {
                    result.put(iterator.getKey(), value);
                }
            }

            return result;
        } else {
            return result;
        }
    }

加密前，注意检查参数名是否完全和文档中相同，一个空格都不能多，也不能少。否则对方验签失败，这种细节的错误有时候也很难找。

注意点：我喜欢用JSONObject对装载参数，但是这里有一个问题，fastJson工具在对jsonObject进行格式转换处理时，可能会打乱原json对象里的字段顺序，导致自己/对方签名校验败。这里有三个解决方案 

1、解析时增加  Feature.OrderedField  参数固定顺序

 Map<String, String> params = JSON.parseObject(jsonStr, new TypeReference<Map<String, String>>(){}, Feature.OrderedField);

2、初始化json对象为有序对象：

JSONObject retObj = new JSONObject(true);

这样生成的json对象就与放入数据时一致。

3、使用Gson解析

JsonObject returnData = new JsonParser().parse(replyString).getAsJsonObject();

4.HttpClient发送请求问题

一般来说第三方API主要使用POST/GET两种方法。按照demo或者文档中的示例能很快确定对方接口的数据格式以及请求方式，不要自己瞎猜乱写，这样效率太低。有的公司会直接提供SDK或者jar包供我们参考，这是极好的。

注意点：

不要轻易将sdk或者jar包引入自己项目，认真检查是否埋有恶意代码。 也可以直接将需要用的代码复制粘贴出来，新建工具类使用。ctrl+c/ctrl+v美滋滋

发送务必检查是否对请求前对参数进行urlencode编码，否则会数据被转义，参数校验失败。

5.回调问题

注意点：

1.在需要回调（异步通知API结果）的时候，我方会使用亚瑟（雾）。。。会使用一个异步请求接口来接受异步通知，即使对方说明了是post或者get请求方法通知，也不要在@RequestMapping（）注解中标明请求方式，这样能给对方没有什么限制，不会容易发生415（bad request）错误码的情况。

2.尽量不要使实力类在方法入参里直接接参数，参数出错了直接就是415（bad request），不容易debug,用request.getParameter()的方式写一个工具类。遍历处请求参数，set到对象里，这是我们项目的类，自己写也不难，百度你懂的

 public static NoticeResp parseNotice(HttpServletRequest request) {
       NoticeResp resp = new NoticeResp();
        Field[] fields = NoticeResp.class.getDeclaredFields();
        for (Field field : fields) {
            ReflectionUtils.setFieldValue(resp, field.getName(), request.getParameter(field.getName()));
        }
        return resp;
    }

如：

 @RequestMapping("notify")
 @ResponseBody
 public Object notify(HttpServletRequest request, HttpServletResponse response){

}

下班了，也基本说完了，有什么疑问可以留言，欢迎多交流，指正