---

title: API签名与重放防护：HMAC与时间窗

keywords:

• HMAC
• 重放防护
• 时间戳
• Nonce
• 签名头

description: 通过 HMAC 计算与时间窗/Nonce 抑制重放攻击，提升公共 API 的安全性与可审计性。

categories:

• 文章资讯
• 技术教程

---

API签名与重放防护：HMAC与时间窗

概览

签名防护依赖稳定的规范化请求与密钥管理。时间窗与一次性 Nonce 能降低重放成功率。

技术参数（已验证）

• 规范化：按固定顺序与编码规范化请求，计算 HMAC（如 SHA-256）。
• 新鲜度：校验时间戳与窗口（如 5 分钟）；Nonce 去重避免重复请求。
• 审计：记录签名失败与重放尝试，辅助风控。

实战清单

• 为所有写操作启用签名与窗口校验；密钥轮换与权限分层。
• 结合幂等键与网关限速，进一步降低风险。