如何实现Java与JS调用联通短信接口的完整指南

在数字化转型浪潮中，短信服务已成为企业与用户沟通的核心渠道。联通短信接口凭借其高稳定性与广泛覆盖，成为开发者首选的通信方案。本文将系统阐述如何通过Java和JavaScript调用联通短信接口，涵盖技术实现细节、安全防护策略及常见问题解决方案。

一、联通短信接口技术架构解析

联通短信接口采用RESTful API设计，支持HTTP/HTTPS协议传输。其核心参数包括：

• 接口地址：联通提供的统一接入网关
• 认证方式：基于AppKey+AppSecret的HMAC-SHA256签名机制
• 请求类型：JSON格式POST请求
• 响应格式：标准HTTP状态码+JSON业务数据

典型请求流程包含：参数校验→签名生成→HTTP请求→响应解析→结果处理五个环节。开发者需特别注意请求超时设置（建议3-5秒）和重试机制设计。

二、Java调用联通短信接口实现

1. 环境准备

<!-- Maven依赖 -->
<dependency>
    <groupId>org.apache.httpcomponents</groupId>
    <artifactId>httpclient</artifactId>
    <version>4.5.13</version>
</dependency>
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.83</version>
</dependency>

2. 核心实现代码

public class ChinaUnicomSMSClient {
    private static final String API_URL = "https://api.10010.com/sms/send";
    private String appKey;
    private String appSecret;
    public ChinaUnicomSMSClient(String appKey, String appSecret) {
        this.appKey = appKey;
        this.appSecret = appSecret;
    }
    public boolean sendSMS(String phone, String content) throws Exception {
        // 1. 构建请求参数
        Map<String, String> params = new HashMap<>();
        params.put("appKey", appKey);
        params.put("phone", phone);
        params.put("content", content);
        params.put("timestamp", String.valueOf(System.currentTimeMillis()));
        // 2. 生成签名
        String sign = generateSign(params, appSecret);
        params.put("sign", sign);
        // 3. 执行HTTP请求
        CloseableHttpClient client = HttpClients.createDefault();
        HttpPost post = new HttpPost(API_URL);
        post.setHeader("Content-Type", "application/json");
        post.setEntity(new StringEntity(JSON.toJSONString(params), "UTF-8"));
        try (CloseableHttpResponse response = client.execute(post)) {
            String result = EntityUtils.toString(response.getEntity());
            JSONObject json = JSON.parseObject(result);
            return "0000".equals(json.getString("code"));
        }
    }
    private String generateSign(Map<String, String> params, String secret) {
        // 按参数名排序后拼接
        String sortedParams = params.entrySet().stream()
            .sorted(Map.Entry.comparingByKey())
            .map(e -> e.getKey() + "=" + e.getValue())
            .collect(Collectors.joining("&"));
        // 添加密钥后计算HMAC-SHA256
        String signStr = sortedParams + "&secret=" + secret;
        try {
            Mac mac = Mac.getInstance("HmacSHA256");
            mac.init(new SecretKeySpec(secret.getBytes(), "HmacSHA256"));
            byte[] hash = mac.doFinal(signStr.getBytes());
            return Base64.getEncoder().encodeToString(hash);
        } catch (Exception e) {
            throw new RuntimeException("签名生成失败", e);
        }
    }
}

3. 最佳实践建议

1. 连接池管理：使用PoolingHttpClientConnectionManager提升性能
2. 异步处理：通过CompletableFuture实现非阻塞调用
3. 熔断机制：集成Hystrix或Resilience4j防止雪崩效应
4. 日志监控：记录请求耗时、成功率等关键指标

三、JavaScript调用联通短信接口实现

1. 浏览器端实现方案

// 前端签名生成（需后端配合）
async function generateSign(params, secret) {
    const sorted = Object.keys(params).sort().map(key => 
        `${key}=${params[key]}`
    ).join('&');
    const signStr = `${sorted}&secret=${secret}`;
    // 注意：前端直接计算HMAC不安全，建议通过后端API获取签名
    const response = await fetch('/api/generateSign', {
        method: 'POST',
        body: JSON.stringify({data: signStr})
    });
    return await response.json();
}
// 完整调用示例
async function sendSMS(phone, content) {
    const params = {
        appKey: 'YOUR_APPKEY',
        phone: phone,
        content: content,
        timestamp: Date.now()
    };
    // 实际项目中应通过后端获取签名
    const signData = await generateSign(params, 'YOUR_SECRET');
    const response = await fetch('https://api.10010.com/sms/send', {
        method: 'POST',
        headers: {
            'Content-Type': 'application/json',
        },
        body: JSON.stringify({...params, sign: signData.sign})
    });
    const result = await response.json();
    return result.code === '0000';
}

2. Node.js服务端实现

const crypto = require('crypto');
const axios = require('axios');
class UnicomSMSClient {
    constructor(appKey, appSecret) {
        this.appKey = appKey;
        this.appSecret = appSecret;
    }
    async sendSMS(phone, content) {
        const params = {
            appKey: this.appKey,
            phone,
            content,
            timestamp: Date.now()
        };
        // 生成签名
        const sign = this.generateSign(params);
        try {
            const response = await axios.post('https://api.10010.com/sms/send', {
                ...params,
                sign
            });
            return response.data.code === '0000';
        } catch (error) {
            console.error('短信发送失败:', error.response?.data || error.message);
            return false;
        }
    }
    generateSign(params) {
        const sorted = Object.keys(params)
            .sort()
            .map(key => `${key}=${params[key]}`)
            .join('&');
        const signStr = `${sorted}&secret=${this.appSecret}`;
        return crypto.createHmac('sha256', this.appSecret)
            .update(signStr)
            .digest('base64');
    }
}

3. 安全增强方案

1. 前端防护：

   • 限制调用频率（建议≤5次/分钟）
   • 实现CSRF令牌验证
   • 对敏感参数进行脱敏处理

2. 后端防护：

   • 使用JWT进行身份验证
   • 实现IP白名单机制
   • 记录完整的调用审计日志

四、常见问题解决方案

1. 签名验证失败

• 原因：时间戳偏差超过5分钟
• 解决：同步服务器时间，使用NTP服务校准

2. 频率限制错误

• 原因：超过接口QPS限制（通常20次/秒）
• 解决：实现令牌桶算法控制请求速率

3. 短信内容过滤

• 原因：包含敏感词或特殊字符
• 解决：提前进行内容审核，使用联通提供的敏感词库

五、性能优化策略

1. 批量发送：通过联通提供的批量接口（单次最多1000个号码）
2. 异步队列：使用RabbitMQ/Kafka实现消息队列解耦
3. 缓存机制：对频繁发送的相同内容进行缓存
4. 多线程处理：Java端使用线程池提升吞吐量

六、合规性要求

1. 用户授权：需获得用户明确授权才能发送营销短信
2. 退订机制：每条短信必须包含”回复TD退订”指令
3. 内容规范：遵守《通信短信息服务管理规定》相关条款
4. 数据安全：对用户手机号进行加密存储（推荐AES-256）

通过系统化的技术实现与安全防护，开发者可以高效稳定地集成联通短信服务。实际项目中建议结合监控告警系统（如Prometheus+Grafana）和自动化测试框架（如JUnit+Postman），构建完整的短信服务管理体系。