签名凭证-Signature

用途

Signature 通常用于校验与石墨 SDK 相关的请求是否合法，具体场景参考下图：

Signature 生成方式

概述

Signature 采用 App ID 和 App Secret 进行签名生成，主要用途包括：

✅ 验证请求合法性 - 石墨服务器验证接入方请求的身份

✅ 回调接口鉴权 - 为无法提供 Token 的回调接口提供身份验证

JWT 结构说明

签名结果为 JSON Web Token (JWT) 格式，采用标准的三段式结构：
Header.Payload.Signature
xxxxx.yyyyy.zzzzz

数据结构详解

Header 部分

包含 JWT 的元数据信息：

{
  "alg": "HS256",        // 签名算法，固定为 HS256
  "typ": "JWT",          // Token 类型，固定为 JWT
  "kid": "your_app_id"   // 应用 ID，用于标识签名方
}

Payload 部分

包含实际的业务数据：

{
  "exp": 1612411882,     // 必需：过期时间戳
  "scope": "license",    // 可选：API 访问范围
  "fileId": "file_123"   // 可选：文件 ID（仅 /admin API 需要）
}

Payload 参数说明

参数名	类型	示例值	必需	说明
`exp`	number	1612411882	✅	JWT 过期时间的秒级时间戳当前时间 < exp 时，签名有效
`scope`	string	"license"	❌	API 访问权限范围用于限制特定 API 的访问权限
`fileId`	string	"file_123"	❌	文件标识符仅在调用 `/admin` 相关 API 时需要

重要提醒

时间戳格式：使用秒级时间戳，非毫秒级
过期验证：当 当前时间戳 >= exp 时，签名将被视为已过期
算法固定：必须使用 HS256 算法进行签名
App ID 位置：务必在 Header 的 kid 字段中包含正确的 App ID

签名生成工具

我们提供了在线升成、校验 Signature 的工具，可直接用于测试 Signature。

该工具为纯前端实现，不会将您的 app_id 和 app_secret 上传到服务器。
如有较高的安全性需求，可将工具代码下载下来在本地环境使用，项目代码开源地址：

Github 地址

https://github.com/shimo-open/shimo-sdk-signature-tool

Gitee 地址

https://gitee.com/luyang950/shimo-sdk-signature-tool

代码示例

Java 代码示例

以 https://github.com/auth0/java-jwt 为例

用途#

Signature 生成方式#

概述#

JWT 结构说明#

数据结构详解#

Header 部分#

Payload 部分#

Payload 参数说明#

签名生成工具#

代码示例#

Java 代码示例#

用途