Appearance
后台传输配置
在后台 程序管理 → 传输配置 页面中进行配置。
配置结构
页面包含「基础配置」「加密配置」「校验配置」「返回值配置」四个页签。
每个接口在「接口详情」中还有独立的「安全传输」开关 —— 两者必须同时开启,安全特性才会生效。
基础配置
APPKEY
用于接口加密验证、数据传输与返回加密的密钥。是所有安全机制的核心。
注意
APPKEY 泄露将导致加密通信失效,请妥善保管。
登录状态码有效期
按秒计算,登录成功返回的 statecode 在有效期内可用于心跳验证。
推荐值
建议设为 60 ~ 86400 秒(1 分钟 ~ 1 天)。设置过长会降低安全性,设置过短会频繁触发重新登录。
加密配置
全局数据加解密
| 设置 | 说明 |
|---|---|
| 开启 | 启用加密通信,客户端和服务器之间的数据均经过加密 |
| 关闭 | 明文通信,数据不加密 |
加密算法
全局数据加解密开启后可选择以下算法:
| 算法 | 类型 | 安全性 | 需要配置 |
|---|---|---|---|
| RC4 | 对称流式加密 | RC4 加解密密钥 | |
| Base64 自定义编码集 | 编码替换 | 64 个字符的自定义编码集 | |
| DES-ECB | 对称分组加密 | DES 加解密密钥 | |
| RSA | 非对称加密 | RSA 公钥 + RSA 私钥 |
各算法详细说明
- RC4 — 轻量级流式加密,性能好,适合大部分场景
- Base64 自定义编码集 — 用自定义 64 字符替换标准 Base64 编码表,安全性较低
- DES-ECB — 使用 DES-ECB 模式 + PKCS7 填充,安全性中等
- RSA — 服务器用私钥加密,客户端用公钥解密,安全性最高但性能较低
详细实现请参考 加密算法指南。
请求值加密
| 设置 | 说明 |
|---|---|
| 开启 | 客户端需使用加密算法加密参数值后发送 |
| 关闭 | 参数以明文传递 |
请求值编码
加密后的编码方式:
| 选项 | 说明 |
|---|---|
| 无编码 | 直接传输加密后的原始数据 |
| Base64 编码 | 加密后进行 Base64 编码 |
| HEX 编码 | 加密后转为 16 进制字符串 |
推荐使用 HEX 编码
Base64 中的 + 号在 URL 传参时会被替换为空格,导致解密失败。使用 HEX 编码可避免此问题。
返回值加密
| 设置 | 说明 |
|---|---|
| 开启 | 服务器返回的数据经过加密,客户端需解密后使用 |
| 关闭 | 明文返回 |
校验配置
时间戳校验
| 设置 | 说明 |
|---|---|
| 开启 | 请求需携带 t 参数,服务器验证请求是否在 30 秒有效期内 |
| 关闭 | 不验证时间戳 |
时间戳校验增强
开启后额外验证请求时间是否 晚于 服务器时间,防止重放攻击。
签名校验
| 选项 | 说明 |
|---|---|
| 关闭 | 不验证签名 |
| 请求签名 | 请求需携带签名 s,防止参数篡改 |
| 双向签名 | 请求签名 + 返回值携带 token 用于客户端二次验证 |
Token 计算方式(双向签名)
- 请求签名模式:
token = md5(ID + APPKEY + 到期时间 + 当前日期分钟) - 双向签名模式:
token = md5(ID + APPKEY + 签名原文 + 到期时间 + 当前日期分钟)
双向签名模式安全性更高,因为 Token 中包含了请求参数的签名原文。
返回值配置
返回值格式
| 选项 | 说明 |
|---|---|
| 文本 | 纯文本返回,字段间用 ; 分隔 |
| JSON | JSON 格式返回 |
JSON 返回时间戳
开启后所有响应携带 time 字段(当前服务器时间戳)。
JSON_CODE 类型
| 选项 | 示例 |
|---|---|
| String | {"code": "200", "msg": "..."} |
| int | {"code": 200, "msg": "..."} |
接口级配置
提示
每个接口在「接口详情」中还有独立的配置项:
| 配置项 | 说明 |
|---|---|
| 调用码 | 接口的调用路径 |
| 调用方式 | HTTP / HTTPS |
| 安全传输 | 此接口是否启用加密(需与程序级配置同时开启) |
| 成功状态码 | 自定义成功时返回的 code 值 |
| 自定义返回值 | 填写后无论结果都返回此固定内容 |
| 返回时间戳 | 仅心跳接口可见,开启后文本格式也返回时间戳 |