333
schangxiang@126.com
2025-09-19 18966e02fb573c7e2bb0c6426ed792b38b910940
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
var util = require("./topUtil.js");
var iconv = require("iconv-lite");
var URL = require("url");
var urlencode = require("urlencode");
 
var ipFileds = ["X-Real-IP", "X-Forwarded-For", "Proxy-Client-IP", "WL-Proxy-Client-IP", "HTTP_CLIENT_IP", "HTTP_X_FORWARDED_FOR"];
 
String.prototype.contains = function (target) {
  return this.indexOf(target) > -1;
};
 
/**
 * 校验SPI请求签名,不支持带上传文件的HTTP请求。
 *
 * @param bizParams 业务参数
 * @param httpHeaders http头部信息
 * @param secret APP密钥
 * @param charset 目标编码
 * @return boolean
 */
exports.checkSignForSpi = function checkSignForSpi(url, body, httpHeaders, secret) {
  var ctype = httpHeaders["content-type"];
  if (!ctype) {
    ctype = httpHeaders["Content-Type"];
  }
  if (!ctype) {
    return false;
  }
 
  var charset = this.getResponseCharset(ctype);
  var urlParams = URL.parse(url).query.split("&");
  var bizParams = buildBizParams(urlParams);
  return checkSignInternal(bizParams, body, httpHeaders, secret, charset);
};
 
function buildBizParams(urlParams) {
  var bizParams = {};
  for (var i = 0; i < urlParams.length; i++) {
    var params = urlParams[i].split("=");
    bizParams[params[0]] = params[1];
  }
  return bizParams;
}
 
/**
 * 检查发起SPI请求的来源IP是否是TOP机房的出口IP。
 *
 * @param request HTTP请求
 * @param topIpList TOP网关IP出口地址段列表,通过taobao.top.ipout.get获得
 *
 * @return boolean true表达IP来源合法,false代表IP来源不合法
 */
exports.checkRemoteIp = function checkRemoteIp(httpHeaders, topIpList) {
  var ip = null;
  for (var i = 0; i < ipFileds.length; i++) {
    var realIp = httpHeaders[ipFileds[i]];
    if (realIp && "unknown" != realIp.toLowerCase()) {
      ip = realIp;
      break;
    }
  }
 
  if (ip) {
    for (var i = 0; i < topIpList.length; i++) {
      if (ip == topIpList[i]) {
        return true;
      }
    }
  }
  return false;
};
 
/**
 * 检查SPI请求到达服务器端是否已经超过指定的分钟数,如果超过则拒绝请求。
 *
 * @return boolean true代表不超过,false代表超过。
 */
exports.checkTimestamp = function checkTimestamp(bizParams, minutes) {
  var timestamp = bizParams["timestamp"];
  if (timestamp) {
    var remove = new Date(timestamp).getTime();
    var local = new Date().getTime();
    return local - remove <= minutes * 60 * 1000;
  }
  return false;
};
 
function arrayConcat(bizParams, signHttpParams) {
  if (signHttpParams) {
    for (var i = 0; i < signHttpParams.length; i++) {
      bizParams[signHttpParams[i].key] = signHttpParams[i].value;
    }
  }
}
 
function checkSignInternal(bizParams, body, httpHeaders, secret, charset) {
  var remoteSign = bizParams["sign"];
  arrayConcat(bizParams, getHeaderMap(httpHeaders));
  var sorted = Object.keys(bizParams).sort();
  var bastString = secret;
  var localSign;
  for (var i = 0, l = sorted.length; i < l; i++) {
    var k = sorted[i];
    var value = bizParams[k];
    if (k == "sign") {
      continue;
    }
    value = urlencode.decode(bizParams[k], charset);
 
    if (k == "timestamp") {
      value = value.replace("+", " ");
    }
    k = iconv.encode(k, charset);
    bastString += k;
    bastString += value;
  }
  if (body) {
    bastString += body;
  }
  ``;
 
  bastString += secret;
  var buffer = iconv.encode(bastString, charset);
  localSign = util.md5(buffer).toUpperCase();
  return localSign == remoteSign;
}
 
exports.getSignInternal = function getSignInternal(bizParams, body, httpHeaders, secret, charset) {
  charset = charset || "utf-8";
  arrayConcat(bizParams, getHeaderMap(httpHeaders));
  var sorted = Object.keys(bizParams).sort();
  var bastString = secret;
  var localSign;
  for (var i = 0, l = sorted.length; i < l; i++) {
    var k = sorted[i];
    var value = bizParams[k];
    if (k == "sign") {
      continue;
    }
    value = urlencode.decode(bizParams[k], charset);
 
    if (k == "timestamp") {
      value = value.replace("+", " ");
    }
    k = iconv.encode(k, charset);
    bastString += k;
    bastString += value;
  }
  if (body) {
    bastString += body;
  }
 
  bastString += secret;
  var buffer = iconv.encode(bastString, charset);
  localSign = util.md5(buffer).toUpperCase();
  return localSign;
};
 
function getHeaderMap(httpHeaders) {
  var resultMap = {};
  var signList = httpHeaders["top-sign-list"];
  if (signList) {
    var targetKeys = signList.split(",");
    targetKeys.forEach(function (target) {
      resultMap[target] = httpHeaders[target];
    });
  }
  return resultMap;
}
 
exports.getResponseCharset = function getResponseCharset(ctype) {
  var charset = "UTF-8";
  if (ctype) {
    var params = ctype.split(";");
    for (var i = 0; i < params.length; i++) {
      var param = params[i].trim();
      if (param.startsWith("charset")) {
        var pair = param.split("=");
        charset = pair[1].trim().toUpperCase();
      }
    }
  }
  if (charset && charset.toLowerCase().startsWith("GB")) {
    charset = "GBK";
  }
  return charset;
};