api 认证签名

API 认证签名详解

API 认证签名

API 认证签名是一种用于验证 API 请求合法性和完整性的安全机制，通过在请求中添加基于秘钥生成的签名，服务器可以确认请求的来源和内容未被篡改。

常见 API 认证方式对比

签名机制核心原理

签名目的

• 身份验证：确认请求来自合法客户端。
• 防篡改：确保请求参数未被中途修改。
• 防重放：通过时间戳或随机数防止重复攻击。

签名生成流程

1. 参数标准化：按字母顺序排序参数，确保一致性。
2. 拼接参数：将参数拼接为字符串（如 key1=value1&key2=value2）。
3. 添加秘钥：在字符串末尾追加预先共享的秘钥。
4. 哈希计算：对最终字符串进行哈希（如 HMAC-SHA256）。
5. 生成签名：将哈希值作为签名附加到请求中。

签名参数说明（以 HMAC-SHA256 为例）

签名生成示例

场景：客户端向 /api/v1/order 发送 POST 请求

标准化参数

method=POST
nonce=random123
timestamp=1630000000
uri=/api/v1/order
body={"orderId":1001,"amount":99.9}
secret=s3cr3tKey

拼接参数

POSTnonce=random123timestamp=1630000000uri=/api/v1/orderbody={"orderId":1001,"amount":99.9}s3cr3tKey

计算 HMAC-SHA256 签名

import hmac, hashlib
message = "POSTnonce=random123timestamp=1630000000uri=/api/v1/orderbody={"orderId":1001,"amount":99.9}s3cr3tKey"
signature = hmac.new(b"s3cr3tKey", message.encode(), hashlib.sha256).hexdigest()
# 结果示例：fa8e8a7b...（省略）

发送请求

POST /api/v1/order HTTP/1.1
Host: api.example.com
X-Signature: fa8e8a7b...（签名）
X-Timestamp: 1630000000
X-Nonce: random123
Content-Type: application/json
{"orderId":1001,"amount":99.9}

服务器端验证流程

1. 提取参数：从请求头中获取 X-Signature、X-Timestamp、X-Nonce。
2. 校验时效性：检查 timestamp 是否在允许的时间窗口内（如 5 分钟）。
3. 防重放攻击：检查 nonce 是否已使用过（可通过缓存或数据库记录）。
4. 重新签名：用相同逻辑生成服务器端的签名。
5. 比对签名：若客户端签名与服务器签名一致，则验证通过。

常见问题与解答

问题 1：为什么 API 需要签名？

解答：

• 安全性：防止恶意用户伪造请求或篡改参数。
• 身份绑定：确保请求来自合法客户端（通过共享秘钥或令牌）。
• 合规性：满足金融、医疗等敏感领域的数据安全要求。

问题 2：参数顺序变化会影响签名吗？

解答：
会，参数必须按固定规则（如字母序）排序后再拼接，否则生成的签名会完全不同。

• 正确顺序：a=1&b=2 → 签名为 X。
• 错误顺序：b=2&a=1 → 签名为 Y（与 `

小伙伴们，上文介绍了“api 认证签名”的内容，你了解清楚吗？希望对你有所帮助，任何问题可以给我留言，让我们下期再见吧。