安全说明
客户端 API(Public Client API)支持可选请求签名。
当项目的客户端 API Key(Public API Key)开启 requireSignature 后,请求必须带上:
X-Yuzuca-TimestampX-Yuzuca-NonceX-Yuzuca-Signature
X-Yuzuca-Timestamp 表示请求时间,X-Yuzuca-Nonce 表示一次性随机串,X-Yuzuca-Signature 表示请求签名。
签名校验基于以下字符串:
METHOD + "\n" + PATH + "\n" + TIMESTAMP + "\n" + NONCE + "\n" + BODY_SHA256
服务端会校验:
- 时间戳窗口
- 随机串(nonce)重放
- HMAC 签名
当前不提供请求体加密。