S = key + url_encode(path) + T簽名 SIGN = md5(S).to_lower()，to_lower 指將字符串轉(zhuǎn)換為小寫； 一般會(huì)這樣簽名API接口開發(fā)時(shí)，如果考慮到接口的安全和參數(shù)不可串改，通常做法一般是吧參數(shù)通過 一定的算法簽名后把簽名的 sign 值一起發(fā)給服務(wù)端，這樣服務(wù)端也根據(jù)除去 sign 參數(shù)，把所有參數(shù)也經(jīng)過簽名后，判斷客服端傳遞的 簽名是否匹配。這樣就解決了，但是有個(gè)問題，簽名算法基本都一樣，能做的就是簽名時(shí)加上一個(gè) key 值，但是這個(gè)key值放在客戶端怎么保證安全呢。比如放在 web 端，js 代碼是直接可以看得，這樣肯定不安全，放在 android 上面貌似也不安全，因?yàn)?apk 是可以反編譯的。有小伙伴解決過這個(gè)問題的么？