移动MAS短信HTTP接口开发与安全实践

1. 移动MAS短信HTTP接口开发实战

在医疗、金融等行业系统中，短信验证码已成为身份核验的标配功能。最近在对接某医学教育平台的短信系统时，我完整实现了基于中国移动MAS平台的HTTP短信接口。这套方案不仅支持普通短信发送，还能通过模板ID发送格式化内容，特别适合需要固定文案的业务场景。

1.1 技术选型解析

选择HTTP协议对接MAS平台主要基于三点考虑：

1. 协议通用性：相比CMPP等专业协议，HTTP几乎被所有编程语言支持
2. 开发效率：无需处理长连接维护、心跳检测等复杂逻辑
3. 调试便捷：可直接用Postman等工具测试接口

核心依赖库包括：

• Hutool（HTTP客户端封装）
• Fastjson（JSON处理）
• Commons-codec（Base64编码）
• Spring框架的DigestUtils（MD5加密）

实际开发中发现，移动MAS接口要求所有参数必须经过Base64编码传输，且需要计算MD5校验码（MAC）作为防篡改机制。这种设计虽然增加了些微开发成本，但显著提升了接口安全性。

1.2 接口认证机制拆解

移动MAS的认证流程包含三个关键要素：

1. 账号体系：由ECName(企业名称)、ApID(接入账号)、SecretKey(密钥)组成
2. MAC校验码：拼接所有参数后计算MD5值
3. 传输编码：整个JSON请求体需要Base64编码

以普通短信接口为例，MAC的计算逻辑如下：

java复制StringBuffer mac = new StringBuffer();
mac.append(ecName).append(apId).append(secretKey)
   .append(mobiles).append(content).append(sign);
String encode = DigestUtils.md5DigestAsHex(mac.toString().getBytes());

2. 两种短信发送模式实现

2.1 普通短信发送实现

核心参数说明：

完整调用流程：

1. 构造请求DTO对象
2. 计算MAC校验码
3. 序列化为JSON并Base64编码
4. 发送HTTP POST请求

关键代码片段：

java复制String url = "http://112.35.1.155:1992/sms/norsubmit";
String response = HttpRequest.post(url)
    .body(base64Payload)
    .contentType("application/json")
    .timeout(5000)
    .execute()
    .body();

2.2 模板短信发送实现

模板短信的优势在于：

• 内容格式固定，避免文案随意变更
• 支持动态参数插入
• 便于内容审核和管理

实现要点：

1. 需要在MAS平台预先申请模板
2. 通过templateId指定模板
3. params传递模板变量

示例模板配置：

code复制模板ID：acc89f4b5bfd4a02a1fb4f3a0d4d8177
模板内容：您正在登录系统，验证码为{1}，5分钟内有效

参数传递方式：

java复制String[] params = {"6789"}; // 对应模板中的{1}
smsSubmitDTO.setParams(JSON.toJSONString(params));

3. 生产环境注意事项

3.1 安全防护方案

1. 密钥管理：

   • 不要硬编码SecretKey
   • 推荐使用配置中心或KMS服务
   • 示例方案：

     properties复制# application.properties
     mas.apid=lckj02
     mas.secret=${KMS_DECRYPT_KEY}
     

2. 请求防重放：

   • 添加timestamp参数
   • 服务端校验时间窗口（如±5分钟）

3. 内容过滤：

   • 禁止特殊字符（如<>）
   • 敏感词过滤（如"贷款"、"赌博"）

3.2 性能优化实践

1. 连接池配置：

   java复制// Hutool全局配置
   HttpRequest.setGlobalTimeout(3000);
   PooledHttpClient httpClient = new PooledHttpClient();
   httpClient.setMaxConnections(100);
   

2. 异步发送模式：

   java复制CompletableFuture.runAsync(() -> {
       SmsUtil.httpSmsTemplate(mobile, code);
   }, threadPool);
   

3. 失败重试机制：

   • 网络超时自动重试(2-3次)
   • 避开移动MAS的流控时段(如整点)

4. 问题排查手册

4.1 常见错误代码

4.2 调试技巧

1. 日志记录要点：

   java复制logger.info("Request MAC: " + macStr);
   logger.info("Base64 Payload: " + base64Payload);
   logger.info("Raw Response: " + response);
   

2. 使用TCPDump抓包：

   bash复制tcpdump -i eth0 -w mas.pcap port 1992
   

3. 模拟测试工具：

   java复制// 使用Mock Server测试异常场景
   @Test
   public void testTimeout() {
       String mockUrl = "http://localhost:8089/mock/mas";
       // 设置500ms延迟
       mockServer.whenRequestTo(mockUrl).respondWithDelay(500);
   }
   

5. 扩展应用场景

5.1 医疗行业特殊需求

1. 医嘱提醒短信：

   • 需要支持药品名称、时间等变量
   • 示例模板：

     code复制尊敬的{1}患者，请于{2}服用{3}，每次{4}粒
     

2. 检验报告通知：

   • 包含PDF报告链接
   • 需使用短链服务压缩URL

5.2 高并发优化方案

1. 批量发送接口：

   • 单次支持500个号码
   • 需要特殊报备申请

2. 消息队列集成：

   java复制@KafkaListener(topics = "sms-task")
   public void handleSmsTask(SmsRecord record) {
       smsService.sendBatch(record);
   }
   

这套实现方案在某三甲医院系统稳定运行两年多，日均发送量约3000条。最关键的经验是：一定要在MAC计算环节做好参数顺序校验，我们曾因调整参数顺序导致全线短信发送失败。现在团队内部维护着详细的接口文档，每个新成员都要通过测试用例才能提交短信相关代码