h5 就別想怎么加密參數(shù)了，現(xiàn)在應(yīng)該還沒有一個(gè)完整的解決方案。如果有的話，請留言讓我也學(xué)習(xí)一下。
就你的說法，我舉個(gè)栗子：

# 正常
   參數(shù)
h5 ===> api ==> 返回?cái)?shù)據(jù)
# 樓樓的想法
    參數(shù)          加密
h5 ===> php中間層 ===> api ==> 返回?cái)?shù)據(jù)
# 在搗亂的人請求你的接口時(shí)，根本不知道有 php 中間層，他們請求你的中間層返回?cái)?shù)據(jù)
    參數(shù)     
h5 ===> php中間層  ==> 返回?cái)?shù)據(jù)

你想一下：你既然在 h5 傳參數(shù)到 php 中間層加密，然后再通過請求 api，那么，想亂來的人，就可以直接認(rèn)為你的 php 中間層是 api 了，我請求 php 中間層就可以得到數(shù)據(jù)了
除非你能像 app 那樣，看不到源碼，自己寫一套加密簽名，別人根本不知道你用什么加密，不知道怎么傳遞參數(shù)。
而 h5 不一樣，我 f12 大法，一看就知道你用什么簽名方式，總是可以偽造。而你一點(diǎn)辦法都沒有。
正確的做法：

1. 就像你說的，做一個(gè) sign 校驗(yàn)參數(shù)
2. 重要的接口需要登錄才能訪問。
3. 節(jié)流限制訪問次數(shù)

你的需求是希望實(shí)現(xiàn)數(shù)據(jù)的加密傳輸嗎？

首先數(shù)據(jù)（也就是你說的參數(shù)）在從瀏覽器（H5）發(fā)送到服務(wù)端（PHP）就已經(jīng)暴露在外了，PHP加密再傳給api已經(jīng)是無用功了（如果api處于服務(wù)端本地局域網(wǎng)內(nèi)）

你可以用https來實(shí)現(xiàn)數(shù)據(jù)加密傳輸，可以防止網(wǎng)絡(luò)中的數(shù)據(jù)被截獲。