帮助文档

  • 快速入门
    • 注册登录
    • 接入指南
    • SDK指南
    • 快捷调试
    • 账户充值
    • 接口类型
  • 会籍说明
    • 会籍类型
    • 开通会籍
  • 功能介绍
    • 数据中心
    • 调用日志
    • 应用管理
  • 使用规范
  • 联系方式
接入指南

我们提供了高效便捷的接入方式,仅需五分钟即可快速接入到您的产品中。


1.获取Token

登录控制台后获取接口所需要的Token密钥
1.控制台右上角 → TOKEN → 复制Token
2.左侧导航 → 接口管理 → 应用管理 → 复制Token


2.复制Token

账号成功注册后,系统自动会为您分配一个默认Token,您可直接调用或自行创建新的应用Token,单击即可自动复制。



3.接入服务

选择您需要API服务,复制API地址,并拼接必要入参
目前可通过两种方式入参:

1.直接以URL入参形式拼接,如GET:https://api.istero.com/resource/ping/test?token=[YOUR_API_TOKEN]
2.封装Header头部请求体中,参数为:Authorization,入参格式为:Bearer [YOUR_API_TOKEN]

固定请求参数 任选其一即可
Header封装 推荐
请求头部 说明 必填 示例
Authorization 开发者中心获取到的应用Token,格式:Bearer <YOUR_API_TOKEN> Bearer kHDWCttQBVRo****
X-Signature 指定算法生成的Sign签名值(内容在下方) 可选 a5c573b59ee353d***
X-Timestamp 当前毫秒级时间戳(需开发者获取传入,有效期五分钟) 可选 1751810929
X-Nonce 随机串,6–32位,防重放,开发者生成传入 可选 5e2a8d7f1c3b90
参数拼接 安全性低

兼容写法:也可直接将参数 token / sign / timestamp / nonce 拼接在URL参数中(参数说明请对应上方,Token无需“Bearer”),不建议此方式,安全性较低,容易泄露隐私数据。



4.动态签名防护 推荐启用

如果您有对API的安全性要求较高的业务需求,可启用动态签名防护功能

4.1 启用服务

进入控制台 → 接口管理 → 应用密钥 → 启用动态签名防护功能
启用后将获得 开发者密钥(AppSecret),密钥仅限本次展示,平台不储存,请妥善保管。









4.2 签名算法 新版

4.2.1 参与签名参数
  • Token(应用Token,开发者中心获取)
  • AppSecret(开发者密钥,开发者中心获取)
  • Timestamp(当前秒级时间戳)
  • Nonce(6–32位随机字符串,不可预测)
  • 所有业务参数(GET/POST/JSON,排除 sign、token、timestamp、nonce)
4.2.2 签名生成步骤
  1. 获取所有业务参数,剔除:sign、token、timestamp、nonce
  2. 参数按 key 字典升序 排序
  3. 拼接为 key=value 格式,用 & 连接,过滤空值、数组、文件
  4. 拼接最终待签串:Token + AppSecret + Timestamp + Nonce + 排序后参数字符串
  5. 使用 SHA256 计算哈希,得到 Sign
4.2.3 示例

请求入参为:b=2&c=test&a=1

排序后参数:a=1&b=2&c=test

待签串:Tokenabc123AppSecretxyz7891751811509Nonce5e2a8d7f1c3b90a=1&b=2&c=test

签名结果:sha256(待签串)

4.3.4 请求示例(Header 版)

GET /resource/ping/test?a=1&b=2&c=test HTTP/1.1
Host: api.istero.com
Authorization: Bearer kHDWCttQBVRo****
X-Signature: a5c573b59ee353d***
X-Timestamp: 1751810929
X-Nonce: 5e2a8d7f1c3b90


4.4 常见错误与排查

  • 签名校验失败
    • 检查参数是否按 key 升序排序
    • 检查是否剔除 sign、token、timestamp、nonce
    • 检查编码统一为 UTF-8
  • Nonce 错误
    • 长度必须 6–32 位
    • 不可重复使用(防重放)
  • Timestamp 过期
    • 必须为秒级时间戳
    • 与服务器时间偏差不得超过 30 秒