S = key + url_encode(path) + T签名 SIGN = md5(S).to_lower()，to_lower 指将字符串转换为小写； 一般会这样签名API接口开发时，如果考虑到接口的安全和参数不可串改，通常做法一般是吧参数通过 一定的算法签名后把签名的 sign 值一起发给服务端，这样服务端也根据除去 sign 参数，把所有参数也经过签名后，判断客服端传递的 签名是否匹配。这样就解决了，但是有个问题，签名算法基本都一样，能做的就是签名时加上一个 key 值，但是这个key值放在客户端怎么保证安全呢。比如放在 web 端，js 代码是直接可以看得，这样肯定不安全，放在 android 上面貌似也不安全，因为 apk 是可以反编译的。有小伙伴解决过这个问题的么？