访问接口提示 signature 无效怎么办

石墨所有服务端接口都会校验 signature（JWT）。若返回 401/403 且 message 包含 signature、kid、exp 等关键词，可按以下步骤排查：

Header：必须包含 alg=HS256、typ=JWT，并额外写入 kid=AppId。缺少 kid 会被立即拒绝。

Payload：至少包含 exp（建议控制在当前时间 + 4 分钟）。访问 /license 相关接口时需要附带 fileId，调用带 scope 限制的接口时需补充 scope 字段（如 license）。

签名算法：使用 AppSecret 做 HMAC-SHA256，再进行 Base64URL 编码，最终拼成 header.payload.signature。不要把 signature 再次拼接或转义。

服务端时间：若与标准时间偏差超过 2~3 分钟，exp 校验会失败，建议所有网关/服务定期同步 NTP。

回调校验：石墨回调业务接口会携带 X-Shimo-Signature，可复用同一套校验逻辑判别请求来源，避免伪造。

逐项检查后大部分 signature 异常都能定位；如仍失败，请抓包对比 header/payload 与官方示例。