請求簽章

定義

Request Signature，將請求的關鍵欄位與只有雙方知道的密鑰組合後，計算雜湊值（Hash）附在請求中。接收方用同樣的材料重新計算並比對，以驗證請求的真實性與完整性。

關鍵數據點（附來源）

• 簽章材料：目標網站網址 | API Key | 時間戳，使用 SHA-256 算法。（api-security-design-connection-key）
• 將網址綁入簽章可限制同一組 Key 只能用於特定網站。（api-security-design-connection-key）
• 台灣金流服務商（綠界、藍新）在 webhook callback 中使用相同的簽章機制。（api-security-design-connection-key）
• 即使攻擊者截取完整請求，也無法修改任何欄位，因為 Hash 會對不上。（api-security-design-connection-key）

前提與局限性

• 依賴 HTTPS 保護傳輸層，簽章本身不加密。
• 需要雙方使用完全相同的簽章算法與欄位順序。
• 密鑰外洩時，簽章機制即失效。

衝突標記

（無）

關聯概念

• [[API 金鑰管理]]
• [[重送攻擊防禦]]
• [[HMAC 驗證]]
• [[Webhook 整合]]