为什么HTTP请求后面有时带一个sign参数（HTTP请求签名校验）

前言

最近在开发过程中，发现前端有很多的接口发送请求时都会携带sign=xxxx参数，但是后端明明没有写，也不需要这个参数，后面才知道，这个前面是为了给http请求签名，主要是为了防止请求体和请求参数被拦截篡改，后端不需要处理该参数，该参数是给网关来进行处理和校验的。

为什么要请求签名

通常我们后端接口暴露给前端使用，但是浏览器f12或者抓包工具可以轻松的获得我们后端接口的请求地址，为了限制只有指定客户端、前端或其他指定第三方服务可以调用我们的接口。

对接口使用前面算法前面后，可以保证，

• 后端接受到的请求，一定是有权限的客户端发出的请求
• 请求参数在整个网络传输过程中没有被篡改
• 加入时间戳的话，可以保证这个请求在一段时间内生效，防止了重放攻击

使用场景

• 需要对接口访问进行权限限制
• 对接口的安全性有一定要求

如何使用

只要能发出http请求就都可以对http请求体前面

例如前端在发送请求前，根据约定好的签名算法，把sign给生成拼接在url后面

后端同样可以对请求前面，只要实现了相应的签名算法即可

后端通常不要对签名参数进行处理，这是网关所负责的，签名不合格的非法请求直接就会被网关拦截

注意：

签名机制仅能确保请求中的参数不被篡改，并不能保证传输中敏感数据的安全性。

参考：

• 这个讲的很详细： https://blog.csdn.net/ruangongtaotao/article/details/131634900

• 这是阿里云的真实案例，需要调用阿里云的接口，则必须根据他的官方文档构造签名函数，这样发送的请求才有效 https://help.aliyun.com/zh/sls/developer-reference/request-signatures

  https://help.aliyun.com/zh/api-gateway/traditional-api-gateway/user-guide/use-digest-authentication-to-call-an-api

• 具体代码实现：https://blog.csdn.net/Monten_Cristo/article/details/117999827

• 这个讲的很详细：https://www.cnblogs.com/Sinte-Beuve/p/12093307.html

• 其他网站的api文档 https://open.esign.cn/doc/opendoc/dev-guide3/tggw2e