目前主流的 APi 的验证是：Token+sign

sign 主要是保证数据的真实性

token 主要是进行接口安全访问的

1. sign验证签名（ sha256Hex）
   一般将一些平台的版本及平台 id 等字段进行固定拼接后再进行摘要算法处理
   // 参与签名计算的Key-Value列表

    Map<String, String> paramMap = new HashMap<>();
    paramMap.put("X-FASC-App-Id", appId);
    paramMap.put("X-FASC-Sign-Type", "HMAC-SHA256");
    paramMap.put("X-FASC-Timestamp", timestamp);
    paramMap.put("X-FASC-Nonce", nonce);
    paramMap.put("X-FASC-AccessToken", accessToken);
    paramMap.put("X-FASC-Api-SubVersion", "5.1");
    paramMap.put("bizContent", bizContent);
    // 排序后的参数字符串，FddCryptUtil为法大大提供得签名工具类
    String paramToSignStr = FddCryptUtil.sortParameters(paramMap);
    // 计算之后得到签名字符串，该签名字符串需放到请求头中的X-FASC-Sign字段
String signText = sha256Hex(paramToSignStr);

然后 hearder 需要加参数Timestamp，与签名的时间戳保持一致就行，服务端到时候需要验签，再根据时间戳判断几分钟内签名有效就行

这样的做法只能说是相对安全的，对于国外节点的服务器来说，时间戳必须做转换。