协议规则

商户接入斗拱平台，调用API必须遵循以下规则：

传输方式采用HTTPS传输
提交方式采用POST方法提交
数据格式 JSON
字符编码 UTF-8
超时时间过长请求请实现异步接口，具体超时时间请参考接口文档
签名算法 SHA256WithRSA，详见“认证与安全”
签名要求详见“认证与安全”
接口与参数格式详见“API命名”

认证与安全

通过签名算法，来验证接口使用者身份以及保证接口安全数据不被篡改。

加签

为了保证数据传输过程中的数据真实性和完整性，需对数据进行数字签名：在接收签名数据后进行签名核验，验证数据报文的真实性及有效性，防止报文被恶意篡改。

接口使用非对称一对公私钥，私钥进行签名，公钥进行验签。

签名生成规则：上送报文体中，业务数据data即为签名原文，将其使用约定的签名算法计算得到签名。目前仅支持SHA256WithRSA签名方式，签名时需使用赟市提供的商户私钥进行签名。

得到签名后，需要将其放入报文的sign字段中一起上送，以供服务端进行签名验证。

同样赟市返回的报文，也携带返回值签名，商户也需要使用赟市公钥进行验签。

如有特殊场景，尽可能使用 API 管理平台的鉴权和加验签来实现功能。

鉴权

加密