Appearance
2. 接口调用及授权
2.1 调用
📘 规范与协议
- 接口标准:基于 RESTful API 规范
- 通信协议:HTTPS
- 接口限流策略:QPS = 10 次/秒
✅ 请求成功
- 请求成功时返回 HTTP 状态码
200。 - 响应体为接口定义的标准对象结构。
❌ 请求失败
- 请求失败时返回以下 JSON 格式的错误信息:
json
{
"errCode": "错误码",
"errMessage": "错误原因"
}| 错误码 | 错误原因 |
|---|---|
DIS_ALLOWED_BUSINESS | 业务不允许 |
ILLEGAL_PARAMETER | 非法参数 |
SERVER_ERROR | 空指针异常 |
UNEXPECTED | 系统异常或未知异常 |
2.2 授权
本系统计划采用 阿里云应用授权机制,以减少自研开发及调试工作量。 阿里云 API 网关体系成熟、稳定、文档完善,可有效降低后期维护与对接成本。
参考文档: 👉 阿里云 API 摘要签名认证说明
🔹 摘要签名认证流程
1️⃣ 核心作用
- 验证请求合法性:通过
APP Key与APP Secret生成签名,确认请求来自合法客户端。 - 防止数据篡改:对关键请求字段进行加密签名,确保数据传输完整性与安全性。
2️⃣ 客户端签名步骤
(1)提取签名关键数据
从原始 HTTP 请求中按以下顺序拼接字段(以 \n 分隔):
HTTPMethod
Accept
Content-MD5
Content-Type
Date
Headers
PathAndParameters- 若字段为空,仍需保留占位符。
Headers部分仅包含参与签名的自定义 Header,并需按字典序排序后拼接。
(2)加密处理
- 使用
HmacSHA256(推荐)或HmacSHA1算法结合APP Secret对签名串进行加密。 - 将结果进行 Base64 编码 生成最终签名字符串。
(3)加入请求头
客户端需在 HTTP 请求头中添加以下字段:
| Header 名称 | 说明 | 是否必填 |
|---|---|---|
x-ca-key | APP Key | ✅ |
x-ca-signature | 生成的签名字符串 | ✅ |
x-ca-signature-method | 签名算法(默认 HmacSHA256) | ⭕ |
x-ca-signature-headers | 参与签名的 Header 列表 | ⭕ |
2.3 请求限制
- 访问频率限制 后期可能会增加访问频率控制策略,请提前做好接口调用次数与限流控制。
- 白名单机制 提供可访问的调用白名单,保障接口安全。
2.4 注意事项
- 接口联系人 请提供接口负责人联系方式,以便后续版本升级及异常通知。
- 超限通知机制 若接口调用超出限制,应通过系统或邮件自动通知相关人员。
2.5 调用流程
