md5动态签名需将password与10位秒级时间戳拼接(顺序为password+time),再取32位小写十六进制哈希值;time必须与请求中一致且为字符串,content须严格匹配全角标点模板。
MD5动态签名怎么算:time + password 拼接后取32位小写
互亿无线的短信接口要求用 MD5 对 password 和 time(10位 Unix 时间戳)拼接后的字符串做哈希,不是只对 password 加密。很多人直接 MD5(password),结果一直报 405 或 40501 错误——那是因为签名根本没通过校验。
- 必须用当前秒级时间戳(
int(time.time())),不能用毫秒或字符串格式 - 拼接顺序固定为:
password + time(注意:不是time + password) - 结果转成 32 位小写十六进制字符串,例如
7a8e9f2b1c4d5e6f7a8e9f2b1c4d5e6f - 如果没传
time参数,系统会 fallback 到静态密码模式,但生产环境不推荐
POST 请求里哪些字段必须带、哪些可省略
接口地址是 https://106.ihuyi.com/webservice/sms.php?method=Submit,只认 POST,GET 仅用于调试且不稳定。必填字段只有 4 个:account、password、mobile、content;但一旦启用动态签名,time 就变成隐性必填——否则签名值无效。
-
account是控制台看到的 APIID,不是用户名 -
content必须严格匹配默认模板:您的验证码是:1234。请不要把验证码泄露给其他人。(含中文标点、空格、句号) -
format=json建议显式带上,避免解析 XML 的额外成本 -
mobile只能传单个号码,不能逗号分隔或多值数组
Python 示例:3 行搞定签名生成与请求
不用第三方库也能跑通,关键是别在编码和拼接上出错。下面这段代码在 Python 3.8+ 直接可用,已避开常见坑:
import time, hashlib, requests
ts = int(time.time())
pwd = "your_apikey_here"
sign = hashlib.md5((pwd + str(ts)).encode()).hexdigest()
data = {"account": "your_apiid", "password": sign, "mobile": "13800138000", "content": "您的验证码是:1234。请不要把验证码泄露给其他人。", "time": str(ts), "format": "json"}
r = requests.post("https://106.ihuyi.com/webservice/sms.php?method=Submit", data=data)
注意:password 字段传的是签名结果 sign,不是原始 pwd;time 字段必须是字符串类型,requests 会自动 urlencode。
为什么签名总失败?重点查这三处
90% 的签名失败不是算法问题,而是上下文不一致。尤其容易忽略的是字符编码和模板内容细节。
- 整个请求 body 必须用 UTF-8 编码发送,
content里的中文冒号、句号必须是全角,半角会触发4072错误 - 签名计算时,
time必须和 POST 请求中传的time完全一致——哪怕差 1 秒也不行 - 调试阶段必须用默认签名
【互亿无线】,少一个【或】、多一个空格都会被拒(错误码4070)
动态签名本质是“时效口令”,它不防重放,只防静态密钥泄露。真要防重放,得自己加 nonce 或服务端做时间窗口校验——但互亿无线接口本身不支持这个粒度。
