接口授权与回调加密

为保障数据传输的安全性与完整性，平台所有API接口均采用Token认证机制，并为回调通知提供了可选的数据加密功能。

接口认证

所有对本平台API的请求都必须经过认证。认证方式采用业界标准的 Bearer Token 方案。

您需要在每个API请求的HTTP头（Header）中添加一个 Authorization 字段，其值格式为 Bearer {apikey}。

Bearer: 认证方案名称，为固定字符串。

{apikey}: 您的专属授权密钥。请将其替换为您在平台“应用管理”界面获取的实际密钥。

请求示例:

注意：
Bearer 和 {apikey} 之间有一个空格。
如果请求头中缺少 Authorization 字段或 apikey 无效，服务器将返回 401 Unauthorized 错误。

授权密钥是您访问API的唯一凭证，请妥善保管，切勿泄露。

为进一步增强回调数据的安全性，平台支持对回调内容进行加密。此功能默认关闭，您可以在“应用管理”中按需启用。

启用后，所有发送到您指定回调地址（callbackUrl）的数据都将使用以下参数进行加密：

加密算法: AES (Advanced Encryption Standard)

工作模式: ECB (Electronic Codebook)

填充模式: PKCS7

在收到加密的回调数据后，请使用此Base64编码的私钥进行解码，然后作为AES解密的密钥来还原原始的JSON数据。