# 接口服务安全验证说明

# API网关调用安全验证说明

安全验证机制：

每次调用接口时，通过请求头（Request header）参数传递[密文]。

请求头：X-API-APPID

密文格式：

[明文] = [APPSECRET]+”:”+[当前时间戳];

[密文] = 加密算法([明文]);

[APPSECRET]：另行提供

[当前时间戳]有效期：±5分钟

加密算法：

采用AES/ECB/PKCS5Padding算法，UTF-8编码

加密密钥：另行提供

参数验签机制：

每次调用接口时，通过请求头（Request header）参数传递[签名]。

请求头：X-API-SIGN

签名生成规则：

编码：utf-8

[签名]= md5([APPSECRET]+”:”+[requestQueryString]+”:”+[requestBodyString])

[APPSECRET]：另行提供；

[requestQueryString]：按照参数名字典序拼接，其中中文参数值需进行urlencode编码。

例如：a=va&b=vb&c=vc

[requestBodyString]：post请求body中的原始json字符串。

例如：{"beginDate":"2018-01","credCity":"北京","endDate":"2019-01"}