hyapi-consoleweb/public/examples/nodejs/sms_signature_demo.js

/**
 * 短信发送接口签名示例
 *
 * 本示例演示如何为短信发送接口生成HMAC-SHA256签名
 *
 * 安全提示：
 * 1. 密钥应该通过代码混淆、字符串拆分等方式隐藏
 * 2. 不要在前端代码中直接暴露完整密钥
 * 3. 建议使用构建工具进行代码混淆
 */

const crypto = require('crypto')

/**
 * 获取签名密钥（通过多种方式混淆，增加破解难度）
 * 注意：这只是示例，实际使用时应该进一步混淆
 */
function getSecretKey() {
  // 方式1: 字符串拆分和拼接
  const part1 = 'HyApi2026'
  const part2 = 'SMSSecret'
  const part3 = 'Key!@#$%^'
  const part4 = '&*()_+QWERTY'
  const part5 = 'UIOP'

  // 方式2: Base64解码（可选，增加一层混淆）
  // const encoded = Buffer.from('some_base64_string', 'base64').toString();

  // 方式3: 字符数组拼接
  const chars = [
    'T',
    'y',
    'A',
    'p',
    'i',
    '2',
    '0',
    '2',
    '4',
    'S',
    'M',
    'S',
    'S',
    'e',
    'c',
    'r',
    'e',
    't',
    'K',
    'e',
    'y',
    '!',
    '@',
    '#',
    '$',
    '%',
    '^',
    '&',
    '*',
    '(',
    ')',
    '_',
    '+',
    'Q',
    'W',
    'E',
    'R',
    'T',
    'Y',
    'U',
    'I',
    'O',
    'P',
  ]
  const fromChars = chars.join('')

  // 组合多种方式（实际密钥：HyApi2026SMSSecretKey!@#$%^&*()_+QWERTYUIOP）
  return part1 + part2 + part3 + part4 + part5
}

/**
 * 生成随机字符串（用于nonce）
 */
function generateNonce(length = 16) {
  const chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
  let result = ''
  for (let i = 0; i < length; i++) {
    result += chars.charAt(Math.floor(Math.random() * chars.length))
  }
  return result
}

/**
 * 生成HMAC-SHA256签名
 *
 * @param {Object} params - 请求参数对象
 * @param {string} secretKey - 签名密钥
 * @param {number} timestamp - 时间戳（秒）
 * @param {string} nonce - 随机字符串
 * @returns {string} 签名字符串（hex编码）
 */
function generateSignature(params, secretKey, timestamp, nonce) {
  // 1. 构建待签名字符串：按key排序，拼接成 key1=value1&key2=value2 格式
  const keys = Object.keys(params)
    .filter((k) => k !== 'signature') // 排除签名字段
    .sort()

  const parts = keys.map((k) => `${k}=${params[k]}`)

  // 2. 添加时间戳和随机数
  parts.push(`timestamp=${timestamp}`)
  parts.push(`nonce=${nonce}`)

  // 3. 拼接成待签名字符串
  const signString = parts.join('&')

  // 4. 使用HMAC-SHA256计算签名
  const signature = crypto.createHmac('sha256', secretKey).update(signString).digest('hex')

  return signature
}

/**
 * 自定义编码字符集（与后端保持一致）
 */
const CUSTOM_ENCODE_CHARSET =
  '0123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghjkmnpqrstuvwxyz!@#$%^&*()_+-=[]{}|;:,.<>?'

/**
 * 自定义Base64编码（使用自定义字符集）
 */
function customBase64Encode(data) {
  if (data.length === 0) return ''

  const bytes = Buffer.from(data, 'utf8')
  const charset = CUSTOM_ENCODE_CHARSET
  let result = ''

  // 将3个字节（24位）编码为4个字符
  for (let i = 0; i < bytes.length; i += 3) {
    const b1 = bytes[i]
    const b2 = i + 1 < bytes.length ? bytes[i + 1] : 0
    const b3 = i + 2 < bytes.length ? bytes[i + 2] : 0

    // 组合成24位
    const combined = (b1 << 16) | (b2 << 8) | b3

    // 分成4个6位段
    result += charset[(combined >> 18) & 0x3f]
    result += charset[(combined >> 12) & 0x3f]

    if (i + 1 < bytes.length) {
      result += charset[(combined >> 6) & 0x3f]
    } else {
      result += '=' // 填充字符
    }

    if (i + 2 < bytes.length) {
      result += charset[combined & 0x3f]
    } else {
      result += '=' // 填充字符
    }
  }

  return result
}

/**
 * 应用字符偏移混淆
 */
function applyCharShift(data, shift) {
  const charset = CUSTOM_ENCODE_CHARSET
  const charsetLen = charset.length
  let result = ''

  for (let i = 0; i < data.length; i++) {
    const c = data[i]
    if (c === '=') {
      result += c // 填充字符不变
      continue
    }

    const idx = charset.indexOf(c)
    if (idx === -1) {
      result += c // 不在字符集中，保持不变
    } else {
      // 应用偏移
      const newIdx = (idx + shift) % charsetLen
      result += charset[newIdx]
    }
  }

  return result
}

/**
 * 自定义编码请求数据
 */
function encodeRequest(data) {
  // 1. 使用自定义Base64编码
  const encoded = customBase64Encode(data)

  // 2. 应用字符偏移混淆（偏移7个位置）
  const confused = applyCharShift(encoded, 7)

  return confused
}

/**
 * 发送短信验证码（带签名）- 方式2：编码后传输（推荐，更安全）
 * 将所有参数（包括签名）使用自定义编码方案编码后传输，隐藏参数结构
 *
 * @param {string} phone - 手机号
 * @param {string} scene - 场景（register/login/change_password/reset_password等）
 * @param {string} apiBaseUrl - API基础URL
 * @returns {Promise<Object>} 响应结果
 */
async function sendSMSWithEncodedSignature(phone, scene, apiBaseUrl = 'http://localhost:8080') {
  // 1. 准备参数
  const timestamp = Math.floor(Date.now() / 1000) // 当前时间戳（秒）
  const nonce = generateNonce(16) // 生成随机字符串

  const params = {
    phone: phone,
    scene: scene,
  }

  // 2. 生成签名
  const secretKey = getSecretKey()
  const signature = generateSignature(params, secretKey, timestamp, nonce)

  // 3. 构建包含所有参数的JSON对象
  const allParams = {
    phone: phone,
    scene: scene,
    timestamp: timestamp,
    nonce: nonce,
    signature: signature,
  }

  // 4. 将JSON对象转换为字符串，然后使用自定义编码方案编码
  const jsonString = JSON.stringify(allParams)
  const encodedData = encodeRequest(jsonString)

  // 5. 构建请求体（只包含编码后的data字段）
  const requestBody = {
    data: encodedData,
  }

  // 6. 发送请求
  try {
    const response = await fetch(`${apiBaseUrl}/api/v1/users/send-code`, {
      method: 'POST',
      headers: {
        'Content-Type': 'application/json',
      },
      body: JSON.stringify(requestBody),
    })

    const result = await response.json()
    return result
  } catch (error) {
    console.error('发送短信失败:', error)
    throw error
  }
}

// 使用示例
if (require.main === module) {
  console.log('=== 发送短信验证码（使用自定义编码） ===')
  // 示例：发送注册验证码（使用自定义编码方案，只传递data字段）
  sendSMSWithEncodedSignature('13800138000', 'register', 'http://localhost:8080')
    .then((result) => {
      console.log('发送成功:', result)
    })
    .catch((error) => {
      console.error('发送失败:', error)
    })
}

module.exports = {
  sendSMSWithEncodedSignature,
  generateSignature,
  generateNonce,
  getSecretKey,
  encodeRequest,
}