接口通用规范与签名机制

请求头规范

推荐统一携带以下头部：

• Authorization: Bearer {access_token}
• Content-Type: application/json
• X-Client-Version
• X-Device-Id
• X-Timestamp
• X-Signature

响应结构

统一响应格式：

• code：业务状态码
• message：响应消息
• data：业务数据
• meta：附加元信息，如 timestamp、request_id

错误码

• 200：成功
• 400：参数错误
• 401：未授权
• 403：权限不足
• 404：资源不存在
• 429：请求频率超限
• 500：服务器内部错误
• 503：服务暂时不可用

签名规则

1. 将请求参数按字典序排序
2. 拼接为签名字符串：timestamp + sortedParams + secret
3. 使用 HMAC-SHA256 计算签名
4. 将签名值放入 X-Signature

实施建议

• 客户端与服务端统一签名字段顺序
• 对时间戳做有效期校验，防重放攻击
• 保留 request_id 用于链路追踪