认证方式说明

认证方式

简单身份认证

加密身份认证

适合场景

客户端环境安全可控，如项目的内网环境。

相比简单身份认证，签名方式安全性较高。

技术原理

客户端程序将AppCode和AppKey拼接后放到Request Header中，或者放到Request的Query参数中，从而进行身份认证。

客户端程序需要使用AppKey和AppSecret，对一系列需要签名所需要的信息 （详见请求签名说明文档）进行哈希运算（一般会使用HmacSHA1算法），得到签名结果（一串字符串）。在调用API时，Request Header增加签名结果和AppKey的内容，从而进行身份认证。

优缺点

• 优点：简单易用，无需复杂的生成签名的过程，各种开发语言和API调用工具都能很简单的使用。

• 缺点：认证方式本身的安全性较低，AppCode和AppKey在网络的传输过程是以明文的方式在Http Request中，因此存在泄露风险。

• 优点：安全性高，传输过程中的签名会根据每次调用的不同情况而发生变化，防篡改。

• 缺点：签名计算过程复杂，建议尽量使用SDK或代码库进行调用。

使用建议

确保网络环境安全的情况下使用，尽量减少传输过程中泄露风险。

建议使用此种方式，安全性较高，也是业内API调用的主流认证方式。