HTTP请求签名校验逻辑

	public void checkSign(SaRequest req) {

		// 参数签名、账号id、时间戳、随机字符串
		String sign = req.getParamNotNull(paramName.sign);
		String loginId = req.getParamNotNull(paramName.loginId);
		String timestamp = req.getParamNotNull(paramName.timestamp);
		String nonce = req.getParamNotNull(paramName.nonce);
		
		// 校验时间戳 
		checkTimestamp(Long.valueOf(timestamp));
		
		// 校验签名 
		String calcSign = getSign(loginId, timestamp, nonce, getSecretkey());
		if(calcSign.equals(sign) == false) {
			throw new Exception("签名无效：" ).setCode("30008");
		}
	}

在签名算法中定义签名字符串有效期的一般做法是在请求参数中加入一个时间戳参数。客户端在生成签名字符串时，将时间戳参数和其他请求参数一起参与签名的计算，服务器端在接收到请求后，会根据相同的签名算法计算签名字符串并比对时间戳参数，如果时间戳过期，则拒绝请求。

具体来说，签名算法的实现可以包含以下几个步骤：

1在请求参数中加入一个时间戳参数，例如timestamp。

2将时间戳参数和其他请求参数一起进行签名计算，得到签名字符串。

3在请求中添加签名字符串和时间戳参数，发送给服务器。（还可以加个随机字符串，如上面的nonce）

4服务器接收到请求后，根据相同的签名算法计算签名字符串，并比对请求中的签名字符串和时间戳参数。

如果签名字符串匹配，且时间戳未过期，则请求通过验证。否则，请求被拒绝。

通常，签名字符串的有效期可以根据实际情况来设置，如果签名字符串的过期时间设置得太短，可能会频繁地需要更新签名字符串，增加了服务器端的负担。如果过期时间设置得太长，那么如果签名字符串被泄露，攻击者就有更长的时间来进行恶意操作，增加了安全风险。因此，签名字符串的有效期需要根据实际需求和安全要求来设置，一般建议设置在几分钟到几小时之间。

只用API密钥，不搞这么多复杂操作可以吗？

只使用API密钥是不够安全的，因为API密钥是静态的，并且容易被泄露，如果只使用API密钥来验证客户端的请求，那么如果密钥泄露，攻击者就可以冒充客户端进行恶意操作。因此，为了增加安全性，签名算法会将API密钥与请求参数一起组合成一个字符串，然后对这个字符串进行哈希处理，生成签名字符串。这样做有以下几个好处：

1对请求参数进行签名可以防止请求被篡改，因为如果请求参数被篡改，那么对应的签名也会不同，从而使得签名校验失败，请求被拒绝。

2将API密钥加入签名算法可以【防止API密钥被泄露】，因为只有知道API密钥的人才能生成有效的签名字符串，而且签名算法可以保证即使API密钥泄露，攻击者也不能伪造有效的请求。

3签名算法可以防止重放攻击，因为签名字符串的生成过程中考虑了请求参数和API密钥，即使攻击者截获了一个请求，也不能重新发送该请求，因为签名字符串已经过期。

因此，将API密钥和请求参数一起参与签名是必要的，可以提高API接口的安全性和可靠性。

假如黑客知道了API秘钥，他能自己生成签名吗？

如果黑客知道了API秘钥，他们是可以生成签名字符串的。因为签名算法使用的是固定的算法和密钥，如果黑客知道了API秘钥，就可以使用相同的算法对请求参数进行签名，从而生成有效的签名字符串。这就是为什么签名算法需要在加密API秘钥的基础上，还要参与请求参数的签名计算，以增加签名字符串的复杂度和安全性。

虽然黑客可以生成有效的签名字符串，但如果您在API接口中采取了其他安全措施，例如限制API秘钥的访问权限，那么即使黑客能够生成有效的签名字符串，也不能访问所有的API接口。因此，为了保证API接口的安全性，除了签名算法之外，还需要采取其他的安全措施，例如访问控制、IP过滤、验证码等。