本发明公开了一种防止请求报文被篡改攻击重放的web接口设计方法。它具体包括如下步骤：服务端结合特定信息构造Token，若调用方也是服务端则提前发放；若是浏览器客户端，则返回csrfToken；约定公开的参数签名算法，约定签名算法公共参数：nonceStr、openid、timestamp、token；再约定一个抽象的业务参数：playload，它指代所有业务参数的集合；发起API请求；根据请求中的公共参数与playload校验请求合法性，校验流程优先级遵循：参数校验最先，简单或复杂运算其次，查询缓存延后。本发明的有益效果是：保证即使请求被抓包也不会泄漏，防范浏览器与服务端CSRF安全，防止参数不被篡改，保证请求不重放。