API認證方式概述

在調用API商品時，首先您需要了解采用哪種API認證方式，云市場API商品的認證方式主要以下兩種方式。兩種方式可同時使用，您可以根據不同情況來選擇。

• 簡單身份認證（AppCode）

  • 適合場景：客戶端環境（您調用API商品的環境）安全可控，如您的內網環境。

  • 技術原理概述：客戶端程序將AppCode放到Request Header中，或者放到Request的Query參數中，從而進行身份認證。

  • 優點：簡單易用，無需復雜的生成簽名的過程，各種開發語言都能很簡單的使用，API商品也提供了多語言的調用示例。

  • 缺點：認證方式本身的安全性較低，AppCode在網絡的傳輸過程是以明文的方式在Http Request中，因此存在泄露風險。

  • 使用建議：建議調用API時采用HTTPS方式，盡量減少傳輸過程中泄露風險。

• 簽名認證：

  • 適合場景：相比簡單身份認證，簽名方式安全性較高。

  • 技術原理概述：客戶端程序使用AppSecret，對一系列需要簽名所需要的信息 （詳見請求簽名說明文檔）進行哈希運算（一般會使用 hmacSha256 算法），得到簽名結果（一串字符串）。在調用API時，Request Header增加簽名結果和AppKey的內容，從而進行身份認證。

  • 優點：安全性高，傳輸過程中的簽名會根據每次調用的不同情況而發生變化，防篡改。

  • 缺點：簽名計算過程復雜，建議盡量使用SDK或代碼庫進行調用。

  • 使用建議：建議使用此種方式，安全性較高，也是業內API調用的主流認證方式。

查詢API調用認證信息

購買成功后，您的認證信息是由API網關統一創建的，可以使用兩種方式查詢到您的API調用認證信息。

• 在云市場控制臺中查詢

  登錄云市場控制臺，在已購買的服務中可以查看到所有購買成功的API商品情況，下圖紅框中的就是AppKey/AppSecret，AppCode的信息。

  

• 在API網關控制臺中查詢

  1. 登錄API網關控制臺。

  2. 在左側導航欄選擇調用API > 應用管理，找到購買成功后為您創建的應用。

     

  3. 單擊目標應用，進入應用詳情，可以看到AppKey/AppSecret，AppCode等信息，此調用認證信息和在云市場控制臺上一致。

     您購買的API商品會發布在不同的Region下，因此可以在各個Region下找到對應的應用。

     

簡單身份認證（AppCode）

可以使用兩種方法調用。

• 將AppCode放在Header中

  請求Header中添加的Authorization字段；配置Authorization字段的值為“APPCODE ＋ 半角空格 ＋APPCODE值”。

  格式如下：

  Authorization:APPCODE AppCode值

  示例如下：

  Authorization:APPCODE 3F2504E04F8911D39A0C0305E82C3301

  目前API商品頁中，示例請求中的代碼，就是采用該方式，如下圖。

  

• 將AppCode放在Query中

  請求Query中添加的“AppCode”參數（同時支持”appcode” , “appCode” , “APPCODE” , “APPCode”四種寫法）；“AppCode”參數的值為AppCode的值。

  http://您的API商品域名?AppCode=3F2504E04F8911D39A0C0305E82C3301

簽名認證

簽名計算過程較為復雜，計算過程可以參考請求簽名說明文檔，建議您使用API網關生成的SDK。

1. 登錄API網關控制臺。

2. 在左側導航欄，選擇調用API > 已授權API的SDK 。

3. 在應用列表中可以找到相應的SDK。

   如果SDK未能滿足您的語言需要，也可以參考其他語言代碼示例。