平台签名安全防护体系升级公告

为进一步提升API接口调用安全性，强化防篡改、防重放、防攻击能力，切实保障用户账户与数据安全，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规要求，ISAS起零数据将对平台动态签名防护体系进行全面升级。

本次升级不影响接口地址、业务参数及返回结构，仅优化签名校验规则。为确保存量业务平稳过渡，平台将设置过渡期兼容方案，相关事项公告如下：

一、核心升级内容

1. 签名算法优化升级，增强安全防护平台将上线新版签名算法，新增Nonce随机串校验与全业务参数参与签名机制，支持参数自动排序、空值过滤、防重放验证，可有效抵御中间人攻击、参数篡改及重复请求。

2. 优化校验规则，提升接口稳定性强化时间戳有效性校验、签名一致性校验、来源合法性校验等机制，进一步提高平台整体安全与合规能力。

3. 过渡期兼容，保障业务不受影响过渡期内新旧签名算法均可正常使用；过渡期结束后，系统仅支持新版签名算法。

二、升级时间安排

• 过渡期
  即日起 - 2026年6月1日，新旧版签名算法均可正常调用，存量业务不受影响。
• 正式生效
  2026年6月1日00:00起系统将仅支持新版签名算法，旧版签名请求将校验失败。

三、签名算法说明

1. 启用动态签名防护

进入控制台 → 接口管理 → 应用密钥 → 启用动态签名防护功能 

启用后将获得开发者密钥(AppSecret)，密钥仅限本次展示，平台不储存，请妥善保管。

2. 公共请求头（推荐Header封装）

3. 旧版签名算法（过渡期可用）

参与签名参数：Token + AppSecret + Timestamp生成规则：将参数直接拼接后，使用 SHA256 计算得到签名。

说明：该算法将于2026年6月1日起停止支持。

4. 新版签名算法（推荐使用，未来强制）

参与签名参数：Token、AppSecret、Timestamp、Nonce、所有业务参数生成规则：

• 剔除 sign、token、timestamp、nonce 等校验参数
• 剩余参数按key字典升序排序
• 拼接为 key=value 格式，以 & 连接
• 拼接原文：Token + AppSecret + Timestamp + Nonce + 排序后参数字符串
• 使用 SHA256 哈希计算得到最终签名

完整示例与开发文档可查阅官方帮助中心

https://api.istero.com/help/menu/5

四、开发者注意事项

1. 未启用动态签名防护的开发者，不受本次升级影响。
2. 已启用签名防护的存量用户，请在2026年6月1日前完成升级，避免接口调用异常。
3. 请妥善保管 Token、AppSecret 等密钥信息，严禁泄露、公开、转让或用于非法用途。
4. 平台将持续遵守网络安全、数据安全、个人信息保护相关法律法规，切实履行安全主体责任。
5. 升级过程中如遇到问题，可通过平台官方客服渠道获取技术支持。

五、平台说明

起零数据始终坚持安全合规、稳定高效、开放可信的服务原则，持续完善安全防护体系，为广大企业及个人开发者提供合法、合规、可靠的 API 数据服务。