对接指引

一、前期准备工作

进入代理商后台开发者管理页面，输入邮箱，回调地址、客户端Public Key提交申请，申请提交后会通过邮件发送 client_id，client_secret，服务端 RSA 公钥给客户端；

客户端需要自己生成适配 SHA256withRSA 算法的 RSA 公私钥，客户端公钥需录入代理商系统（录入时删除 -----BEGIN PUBLIC KEY----- 开头和 -----END PUBLIC KEY----- 结尾，仅保留中间纯文本内容），否则服务端验签不能通过；

client_id，client_secret用于获取访问令牌；

客户端调用业务接口需要携带令牌，并对报文使用客户端私钥签名；

服务端 RSA 公钥用于异步通知回调客户端，客户端采用 SHA256withRSA 算法进行验签。

二、API 地址

环境地址
测试 https://test-api.moneycomeon.com/
生产 https://api.falpay.com/

三、获取访问令牌（access_token）

接口用途

获取调用业务接口的身份认证令牌，令牌有效期内可复用，过期需重新获取。

调用说明

请求需携带我方分配的 client_id（客户端标识）、client_secret（客户端密钥）；

从接口返回结果中提取 access_token，作为后续业务接口的调用凭证。

具体接口文档请参考【认证-获取令牌】

四、调用业务接口

接口用途

调用我方各类业务接口完成具体业务操作，所有业务接口均遵循此调用规则。

调用要求

1. 请求头必传参数

（4个核心参数，格式/规则严格遵循）

请求头名称	取值规则
Authorization	固定格式：`Bearer {{access_token}}`（`{{access_token}}`替换为实际获取的令牌，`Bearer`后必须加英文空格）
X-Signature	用客户端私钥，对完整的请求Body字符串原文做SHA256withRSA签名，签名结果经Base64编码后的值
X-Timestamp	当前系统毫秒级时间戳（13位纯数字），用于校验请求时效性
X-Nonce	32位唯一随机串，每次请求必须不同（推荐UUID去除`-`生成），用于防重放攻击

2. 请求体核心要求

请求Body必须为完整字符串（如JSON字符串），签名时需使用未做任何修改、与实际发送完全一致的Body字符串原文，包括字段顺序、空格、转义符等，否则会导致签名校验失败。

3. 调用顺序

先构造并确定请求Body字符串 → 生成X-Signature签名 → 携带请求头与Body发起请求。

4. 业务接口

具体接口文档请参考业务接口文档

一、前期准备工作#

二、API 地址#

三、获取访问令牌（access_token）#

接口用途#

调用说明#

四、调用业务接口#

接口用途#

调用要求#

1. 请求头必传参数#

2. 请求体核心要求#

3. 调用顺序#

4. 业务接口#

5. 签名工具类#

一、前期准备工作

二、API 地址

三、获取访问令牌（access_token）

接口用途

调用说明

四、调用业务接口

接口用途

调用要求

1. 请求头必传参数

2. 请求体核心要求

3. 调用顺序

4. 业务接口

5. 签名工具类