请先进行登录
在调用API商品时,首先您需要了解采用哪种API认证方式,云市场API商品的认证方式主要以下两种方式。两种方式可同时使用,您可以根据不同情况来选择。
简单身份认证(AppCode)
适合场景:客户端环境(您调用API商品的环境)安全可控,如您的内网环境。
技术原理概述:客户端程序将AppCode放到Request Header中,或者放到Request的Query参数中,从而进行身份认证。
优点:简单易用,无需复杂的生成签名的过程,各种开发语言都能很简单的使用,API商品也提供了多语言的调用示例。
缺点:认证方式本身的安全性较低,AppCode在网络的传输过程是以明文的方式在Http Request中,因此存在泄露风险。
使用建议:建议调用API时采用HTTPS方式,尽量减少传输过程中泄露风险。
签名认证:
适合场景:相比简单身份认证,签名方式安全性较高。
技术原理概述:客户端程序使用AppSecret,对一系列需要签名所需要的信息 (详见使用摘要签名认证方式调用API)进行哈希运算(一般会使用 hmacSha256 算法),得到签名结果(一串字符串)。在调用API时,Request Header增加签名结果和AppKey的内容,从而进行身份认证。
优点:安全性高,传输过程中的签名会根据每次调用的不同情况而发生变化,防篡改。
缺点:签名计算过程复杂,建议尽量使用SDK或代码库进行调用。
使用建议:建议使用此种方式,安全性较高,也是业内API调用的主流认证方式。