API签名

在提供API过程中：考虑到SDK的公开性，需要保证调用API的用户是平台注册的用户，

首先：平台提供AccessID 和AccessSecret 给用户，用户需要妥善保管

其次：用户提供参数（AccessID、必要的参数key及value）加验签信息给平台

再次：平台根据发送的参数AccsessID查询AccessSecret并根据一定的验签方式计算验签信息，验证用户的合法性

 

用户需要提交的参数：AccessID=“ID”  time=“(当前时间+4位随机码)” name="名称"  content=“内容” signCode=“验签信息码”等

其中注意：

1. 用户妥善保管AccessSecret

2.用户获取验签信息码的过程：hac（sign+AccessSecret），其中sign=[用户需要提交的参数：AccessID=“ID”  time=“(当前时间+4位随机码)” name="名称"  content=“内容” 等以某种排列组合的方式进行排序获取的字符串，其中包括value值]

3.平台获取到AccessID=“ID” ，查询出AccessSecret，按hac（sign+AccessSecret）计算验签码，与用户提交信息比较，确定用户的身份

4. 注意：如果被截获信息，目的是修改参数，只要参数变化，验签码需要重新计算，但是需要提前知道AccessSecret，避免了恶意截获信息，发起恶意修改攻击