直接传 key 简直就是多此一举啊,随便监听一下网络就能把你的 key 盗走。 最简单的方式是使用签名,各大开放平台都是这样做的,性能好,安全性不错。 签名基本原理是通过 key/secret 的实现: 1, 服务器负责为每个客户端生成一对 key/secret ( key/secret 没有任何关系,不能相互推算),保存,并告知客户端。 2, 当客户端调用 api 时,根据某种规则将所有请求参数串联起来并用 secret 生成签名 sign 。 3, 将 sign 和 key 一起放进请求参数对服务器进行调用。(注意 secret 不要传) 4, 服务端收到请求,根据 key 去查 secret ,然后用同样的算法,验证签名。 5, 为避免重放攻击,可加上 timestamp 参数,指明客户端调用的时间。服务端在验证请求时若 timestamp 超过允许误差则直接返回错误。 以上,即使第三方知道了你的算法, key 等信息,由于无法捕获到 secret ,也无法推算,因此是安全的。最好是把 api 布署成 https 的。