嘿，我来帮你拆解下当前遇到的两个问题：401未授权错误，以及代码冗余的精简方向。

一、先搞定401未授权的常见坑 #

基于Coinbase API的HMAC签名机制，结合你给出的代码片段，大概率是这几个地方出了问题：

• 签名消息格式不对：Coinbase要求的签名消息是Unix时间戳（秒级） + 请求方法（大写） + 请求路径 + 请求体（GET的话是空字符串）。你当前的message是Epoch.ToString() + "GET" + "/v2/payment-methods"，要确认你的Epoch是秒级时间戳（不是毫秒），而且有没有不小心加了多余的空格？比如"GET "多了空格就会导致签名不匹配。
• 密钥/权限不匹配：检查你的API Key和Secret是不是配对的，有没有搞混；另外要确保这个API Key已经开启了访问payment-methods的权限，Coinbase的API密钥默认权限很有限。
• 请求头没加全：Coinbase要求必须带三个头：CB-TIMESTAMP（就是你的Epoch）、CB-ACCESS-KEY（你的API Key）、CB-SIGNATURE（生成的HMAC签名），有没有漏加或者头的拼写错了？
• 时间同步问题：如果你的本地系统时间和Coinbase服务器时间差超过30秒，会直接被拒，先确认下系统时间是不是准确。

二、代码冗余的精简点（基于你给的片段） #

从你写的AccessAttempt函数来看，有几个明显可以优化的地方：

1. 硬编码的配置重复 #

你把WEBSERVICE_URL直接写在函数里，如果后面还要调用其他Coinbase API，肯定会重复写https://api.coinbase.com这个基础域名，建议把通用配置抽到类级别或者单独的配置类里：

// 放在类的顶部，所有API请求共享
private const string COINBASE_API_BASE = "https://api.coinbase.com";
private const string PAYMENT_METHODS_PATH = "/v2/payment-methods";

这样后续改域名或者路径只需要改一处，不用每个函数都改。

2. 请求初始化逻辑重复 #

如果你的API请求函数和签名函数是分开写的，大概率会重复创建WebRequest、设置请求方法、加请求头这些代码。可以把通用的请求初始化抽成一个辅助方法：

private HttpWebRequest BuildCoinbaseRequest(string path, string method, string timestamp, string signature, string apiKey)
{
    var fullUrl = $"{COINBASE_API_BASE}{path}";
    var request = (HttpWebRequest)WebRequest.Create(fullUrl);
    request.Method = method;
    // 通用请求头统一在这里加
    request.Headers.Add("CB-TIMESTAMP", timestamp);
    request.Headers.Add("CB-ACCESS-KEY", apiKey);
    request.Headers.Add("CB-SIGNATURE", signature);
    request.ContentType = "application/json";
    return request;
}

这样AccessAttempt里直接调用这个方法就行，不用重复写一堆初始化代码。

3. 签名逻辑不够通用 #

如果你的签名函数是单独写的，别把请求方法、路径这些硬编码进去，应该把timestamp、method、path、body作为参数传进去，让签名函数能复用在所有API请求里：

private string GenerateCoinbaseHmac(string secret, string timestamp, string method, string path, string body = "")
{
    var message = $"{timestamp}{method}{path}{body}";
    var secretBytes = Convert.FromBase64String(secret);
    using (var hmac = new HMACSHA256(secretBytes))
    {
        var messageBytes = Encoding.UTF8.GetBytes(message);
        var hashBytes = hmac.ComputeHash(messageBytes);
        return Convert.ToBase64String(hashBytes);
    }
}

不管是GET请求支付方式，还是POST请求创建订单，都能调用同一个签名函数生成正确的签名，不用每个请求都写一遍签名逻辑。

4. 异常处理的重复（推测） #

如果你的两个函数都有自己的try-catch块，建议把通用的异常处理（比如处理请求超时、响应解析错误）抽成一个方法，避免重复写相同的异常处理代码。

三、下一步建议 #

1. 先排查401：
   • 把你生成的message字符串打印出来，和Coinbase官方文档的示例对比，确保格式完全一致
   • 用Postman手动模拟请求，按照文档生成签名，看能不能成功，排除代码逻辑之外的问题
   • 确认API密钥的权限和有效性
2. 重构冗余代码：
   • 把通用的配置、请求模板、签名逻辑抽成复用的方法，让代码更简洁，也方便后续维护

内容的提问来源于stack exchange，提问作者DroneLord