HMAC签名是什么？API接口为什么要做签名校验

HMAC是什么

HMAC是一种基于密钥的消息认证码，全称可以理解为带密钥的哈希。普通哈希只把内容算成摘要，任何人都能对同样内容算出同样结果；HMAC还需要一个密钥，只有知道密钥的人才能生成正确签名。因此它常用于API接口鉴权和数据防篡改。

常见写法包括HMAC-SHA256、HMAC-SHA1等，其中SHA256更常见。接口请求方把请求参数、时间戳、请求体等按约定拼成字符串，再用密钥计算签名。服务端用同样规则重新计算，如果结果一致，就说明内容没有被篡改且请求方可能持有正确密钥。

如果接口只依赖一个固定Token，一旦Token泄露，别人就可以伪造请求。签名机制通常会把请求内容、时间戳、随机数一起纳入计算，使每一次请求的签名都不同。即使别人截获了一次请求，也很难长期复用。

签名还能防止参数被中途修改。比如支付金额、订单号、回调状态等关键字段，如果被改动，服务端重新计算签名就会不一致。开放平台、支付接口、物流接口、短信接口都常用类似机制。

第一是参数排序不一致。很多平台要求按字典序拼接参数，少一个字段或顺序不同都会签名失败。第二是编码不一致，中文、空格、URL编码规则不同会导致结果不同。第三是请求体参与签名时，格式化JSON和压缩JSON可能产生不同字符串。

第四是时间戳单位或时区错误，导致请求被认为过期。第五是密钥拿错，把AppSecret、AccessKey、Token混用。排查签名失败时，最好把待签名字符串完整打印出来，两端逐字符对比，而不是只看最终签名。

密钥不能写到前端代码里，也不要提交到公开仓库。服务端应限制签名有效时间，结合时间戳和随机数防重放。日志中不要完整打印密钥，也不要把生产密钥粘贴到不可信工具。调试时可以使用测试密钥和样例数据。

工具帮的HMAC签名工具适合学习签名原理、验证测试样例和排查算法差异。真正生产环境的签名逻辑应放在可信后端，并配合HTTPS、权限控制和日志审计一起使用。

落地接口签名时，建议把签名规则写成清晰文档：哪些字段参与签名、如何排序、是否URL编码、请求体是否参与、时间戳单位是什么、签名结果是十六进制还是Base64。规则越明确，联调越少扯皮。

调试阶段可以准备一组官方样例，包括请求参数、待签名字符串、密钥和最终签名。只要双方都能算出样例结果，再接入真实接口就容易很多。签名问题最怕只给“验签失败”四个字，没有中间过程。

HMAC需要密钥，普通SHA256不需要。HMAC更适合做接口签名校验。

参数顺序、编码规则、时间戳单位和待签名字符串不一致最常见。

不建议。放在前端等于暴露给用户，应由服务端保管。