阿里DataV参数签名校验的坑
阿里DataV数据可视化提供了快速数据大屏能力支持,它有一个很好的参数签名功能,可以防止发布出去的地址某些参数被篡改的可能。
在 https://help.aliyun.com/document_detail/120299.html 这里描述了参数签名的规则,大致就是需要保护的参数使用 datav_sign_ 名称开头,然后对这些 datav_sign_ 开头的参数按照签名规则,拼装签名字符串进行签名。
这里有一个点官方文档没有说明,就是当 datav_sign_ 开头名称的参数值为空时,这时候参与签名的字符串不要将这个参数算进去,否则就是打开地址出错,提示没有权限。
比如地址上有 datav_sign_type= 这个空值的参数,则做token签名时,这个 datav_sign_type 参数不要算进去