发布的 API 如果使用应用认证方式(ApiAppKey 和 ApiAppSecret),客户端在调用 API 时,需要使用签名密钥对请求内容进行签名计算,并将签名同步传输给服务器端进行签名验证,您可以参考本文档在客户端实现签名计算过程。
>?常用语言的应用认证签名 Demo 请参考 [开发指南-多种语言生成应用认证签名](https://cloud.tencent.com/document/product/628/56046)。
## 概述
API 网关提供前端签名及验签功能,该功能可实现:
- 验证客户端请求的合法性,确认请求中携带授权后的 App Key 生成的签名。
- 防止请求数据在网络传输过程中被篡改。
API 的拥有者可以在 API 网关控制台的应用管理页面生成 App,每个 App 会携带一对签名密钥(ApiAppKey 和 ApiAppSecret),API 拥有者将 API 授权给指定的 App(App 可以是 API 拥有者颁发或者 API 调用者所有)后,API 调用者就可以用 App 的签名密钥来调用相关的 API 了。
客户端调用 API 时,需要使用已授权签名密钥对请求内容的关键数据进行加密签名计算,并且将 ApiAppKey 和加密后生成的字符串放在请求的 Header 传输给 API 网关,API 网关会读取请求中的 ApiAppKey 的头信息,并且根据 ApiAppKey 的值查询到对应的 ApiAppSecret 的值,使用 ApiAppSecret 对收到的请求中的关键数据进行签名计算,并且使用自己的生成的签名和客户端传上来的签名进行比对,来验证签名的正确性。只有签名验证通过的请求才会发送给后端服务,否则 API 网关会认为该请求为非法请求,直接返回错误应答。
## 签名生成和认证流程
### 前置条件
- 被调用的 API 的安全认证类型为“应用认证”。
- API 的调用方需要在调用 API 之前获取到对应 API 给应用的授权。
### 客户端生成签名
1. 从原始请求中提取关键数据,得到一个用来签名的字符串。
2. 使用加密算法加 ApiAppSecret 对关键数据签名串进行加密处理,得到签名。
3. 将签名所相关的所有头加入到原始 HTTP 请求中,得到最终 HTTP 请求。
### 服务器端验证签名
1. 从接收到的请求中提取关键数据,得到一个用来签�
