接入指南
我们提供了高效便捷的接入方式,仅需五分钟即可快速接入到您的产品中。
1.获取Token
登录控制台后获取接口所需要的Token密钥
1.控制台右上角 → TOKEN → 复制Token
2.左侧导航 → 接口管理 → 应用管理 → 复制Token
1.控制台右上角 → TOKEN → 复制Token
2.左侧导航 → 接口管理 → 应用管理 → 复制Token
2.复制Token
账号成功注册后,系统自动会为您分配一个默认Token,您可直接调用或自行创建新的应用Token,单击即可自动复制。
3.接入服务
选择您需要API服务,复制API地址,并拼接必要入参
目前可通过两种方式入参:
1.直接以URL入参形式拼接,如GET:https://api.istero.com/resource/ping/test?token=[YOUR_API_TOKEN]
2.封装Header头部请求体中,参数为:Authorization,入参格式为:Bearer [YOUR_API_TOKEN]
目前可通过两种方式入参:
1.直接以URL入参形式拼接,如GET:https://api.istero.com/resource/ping/test?token=[YOUR_API_TOKEN]
2.封装Header头部请求体中,参数为:Authorization,入参格式为:Bearer [YOUR_API_TOKEN]
固定请求参数 任选其一即可
Header封装 推荐
| 请求头部 | 说明 | 必填 | 示例 |
|---|---|---|---|
| Authorization | 开发者中心获取到的应用Token,格式:Bearer <YOUR_API_TOKEN> | 是 | Bearer kHDWCttQBVRo**** |
| X-Signature | 指定算法生成的Sign签名值(内容在下方) | 可选 | a5c573b59ee353d*** |
| X-Timestamp | 当前毫秒级时间戳(需开发者获取传入,有效期五分钟) | 可选 | 1751810929 |
| X-Nonce | 随机串,6–32位,防重放,开发者生成传入 | 可选 | 5e2a8d7f1c3b90 |
参数拼接 安全性低
兼容写法:也可直接将参数 token / sign / timestamp / nonce 拼接在URL参数中(参数说明请对应上方,Token无需“Bearer”),不建议此方式,安全性较低,容易泄露隐私数据。
4.动态签名防护 推荐启用
如果您有对API的安全性要求较高的业务需求,可启用动态签名防护功能



4.1 启用服务
进入控制台 → 接口管理 → 应用密钥 → 启用动态签名防护功能
启用后将获得 开发者密钥(AppSecret),密钥仅限本次展示,平台不储存,请妥善保管。



4.2 签名算法 新版
4.2.1 参与签名参数
- Token(应用Token,开发者中心获取)
- AppSecret(开发者密钥,开发者中心获取)
- Timestamp(当前秒级时间戳)
- Nonce(6–32位随机字符串,不可预测)
- 所有业务参数(GET/POST/JSON,排除 sign、token、timestamp、nonce)
4.2.2 签名生成步骤
- 获取所有业务参数,剔除:sign、token、timestamp、nonce
- 参数按 key 字典升序 排序
- 拼接为 key=value 格式,用 & 连接,过滤空值、数组、文件
- 拼接最终待签串:Token + AppSecret + Timestamp + Nonce + 排序后参数字符串
- 使用 SHA256 计算哈希,得到 Sign
4.2.3 示例
请求入参为:b=2&c=test&a=1
排序后参数:a=1&b=2&c=test
待签串:Tokenabc123AppSecretxyz7891751811509Nonce5e2a8d7f1c3b90a=1&b=2&c=test
签名结果:sha256(待签串)
4.3.4 请求示例(Header 版)
GET /resource/ping/test?a=1&b=2&c=test HTTP/1.1
Host: api.istero.com
Authorization: Bearer kHDWCttQBVRo****
X-Signature: a5c573b59ee353d***
X-Timestamp: 1751810929
X-Nonce: 5e2a8d7f1c3b90
4.4 常见错误与排查
- 签名校验失败
- 检查参数是否按 key 升序排序
- 检查是否剔除 sign、token、timestamp、nonce
- 检查编码统一为 UTF-8
- Nonce 错误
- 长度必须 6–32 位
- 不可重复使用(防重放)
- Timestamp 过期
- 必须为秒级时间戳
- 与服务器时间偏差不得超过 30 秒









