鉴权、签名中间件验证

已于 2022-02-14 20:23:38 修改
阅读量455 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 中间件 php thinkphp
于 2022-02-14 14:24:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Keybord_hard/article/details/122923745

 后端

/**
 * 验证后返回
 * @param $request
 * @param \Closure $next
 * @return mixed|\think\response\Json
 */
public function handle($request, \Closure $next)
{
    try {
        # 验证token 、可以直接加在路由后面
        # 验证时间戳
        $this->checkTime();
        # 验证签名
        $this->checkSign();
        return $next($request);
    } catch (Exception $exception) {
        return json($exception->getMessage());
    }
}
/**
 * 验证时间戳
 * @throws Exception
 */
public function checkTime()
{
    $client_time = request()->get('timestamp') ?: request()->post('timestamp');
    if (!is_numeric($client_time)) {
        throw new Exception('时间戳格式不正确');
    }
    if (time() - $client_time > 120) {
        throw new Exception('请求超时');
    }
}
/**
 * 验证签名
 * @throws Exception
 */
public function checkSign()
{
    $client_sign = request()->get('sign') ?: request()->post('sign');
    # 判断是否有签名
    if (!$client_sign) {
        throw new Exception('签名不正确');
    }

    # 判断签名是否正确
    $server_sign = $this->getSign();

    if ($client_sign != $server_sign) {
        throw new Exception('签名不正确');
    }
}
/**
 * 生成签名
 * @return string
 */
public function getSign()
{
    # 获取所有请求的参数
    $params = request()->all();
    # 签名规则
    # 第一步 参与签名的参数不包括签名本身、不包括token
    unset($params['sign']);
    unset($params['token']);
    # 第二步 按照ASCII进行参数排序
    ksort($params);
    $wait_sign = '';
    foreach ($params as $key => $value) {
        $wait_sign .= $key . '=' . $value . '&';
    }
    # 去除多余的& 符号
    $wait_sign = rtrim($wait_sign, '&');
    return md5($wait_sign);
}

 前端生成签名(md5()方法是引入的js文件中的方法)

/**
 * 生成签名
 * @param params
 * @returns {string}
 */
function create_sign(params) {
    let timestamp = Math.ceil((new Date()).getTime() / 1000);
    params['timestamp'] = timestamp;
    let wait_sign = sort_ascii(params)
    params['sign'] = md5(wait_sign);
    return params;
}

/**
 * 按ascii码从小到大排序
 * @param obj
 * @returns {string}
 */
function sort_ascii(obj) {
    let arr = new Array();
    let num = 0;
    for (let i in obj) {
        arr[num] = i;
        num++;
    }
    let sortArr = arr.sort();
    let str = '';             //自定义排序字符串
    for (let i in sortArr) {
        str += sortArr[i] + '=' + obj[sortArr[i]] + '&';
    }
    //去除两侧字符串
    let char = '&'
    str = str.replace(new RegExp('^\\' + char + '+|\\' + char + '+$', 'g'), '');
    return str;
}

【Go开源宝藏】JWT-Go | 中间件
面向生活编程
09-24 2329
【Go开源宝藏】JWT-Go
[C#] 基于 Token 的签名机制详解 接口对接 token、sign(a=1&b=2&c=3&d=4)、Base64、参数加密、MD5
Hellc007的博客
09-06 1960
这段代码框架可以帮助你进行C#对接的基本操作。如果需要进一步定制或复杂的逻辑,可以根据需求扩展。Java 语言替换时可能会产生多余换行符,要处理掉,以免接口返回“非法请求”。使用以下C#代码来对接该接口。下面是一个步骤分解的示例,包括如何获取。实际上是经过伪装的,并非原始。
接口+接口签名
奇葩也是花
05-06 2419
接口的实现 【 微信公众号中,不同类型的公众号有不同的限。 】 如何实现: 借助了appid和appsecret。 接口如何实现? 1、给每个客户端下发一个appid和appsecret 2、接口端给每个客户端设置不同的限 3、客户端请求接口的时候,接口端根据客户端传递的appid,找到客户端对应的限 4、判断用户是否具备调用该接口的限。 为什么要做接口签名? 防止数据被篡改 ...
token认证 和 中间件
Spark_ANG的博客
05-08 746
第一步: 找到封装的JWT的代码,把JWT.php丢进自己创建的文件夹(token)中 第二步: 安装JWT composer require lcobucci/jwt 3.3 第三步: 进入JWT.php中修改一个路径 将这个改成 第四步: -- ...
签名Signature)认证实现方式-用于请求
热门推荐
Solin的博客
07-16 1万+
常用的请求认证方式有两种: 1、Signature认证 一次性的身份校验方式,常见于不同项目间的api通信 一般形式是通过 AppID/AccessKey/AppSecret 及签名算法针对通信数据生成签名 AccessKey作为公钥,AppSecret作为私钥,AppSecret不能放在网络上传输 接口数据推送时,会随带上AppID、AccessKey、Timestamp及 Signatu...
API签名设计
后面牵个人的博客
12-26 3255
API的作用:识别调用方身份,控制API的访问限,进而保护平台数据的安全。
Golang中间件开发实战:日志、限流与JWT详解
最新发布
06-03
Golang中间件开发实战:日志、限流与JWT详解 功能说明 日志中间件: 记录每个请求的方法、路径、客户端地址 记录响应状态码和处理时间 日志输出示例:[GET] /public 127.0.0.1:12345 - Status: 200 - Duration: ...
WebApi Token+ 数字签名认证源码
04-10
6. **数字签名**:在Token验证过程中,数字签名用于确认Token的完整性和来源。服务器使用私钥签名,客户端使用服务器的公钥验证。这确保了即使Token被截获,攻击者也无法伪造有效的Token。 总结,WebApi Token+ ...
laravelAPI
08-07
- 自定义配置:开发者可以自定义规则,例如设置签名过期时间,或者调整签名算法。 在使用 `qbhy-laravel-api-auth-66a12cd` 这个压缩包时,你需要按照以下步骤操作: 1. 解压文件并将其复制到 Laravel 项目的 ...
marge-gateway开源网关特性:签名、IP策略、限流
资源摘要信息:"marge-gateway是一个通用网关系统,它集成了一系列功能,如签名、IP策略以及限流等控制措施。该项目以开源的方式提供大部分代码,方便开发者进行二次开发和部署。为了使系统在实际环境中运行,...
API接口签名设计
分享DotNet技术和日常开发笔记,DotNet,Python为主。
03-28 630
在设计API接口的签名时,通常会使用一种加密算法来生成签名,以确保请求的合法性和安全性。以下是通过签名的设计方案。
ASP.NET Core基础系列(六)(中间件
目标:MVP
03-29 475
一、什么是Middleware ASP.NET Core中间件组件是被组装到应用程序管道中以处理HTTP请求和响应的软件组件,每一个中间件组件都执行以下任务: 选择是否将HTTP请求传递给管道中的下一个组件。这可以通过在中间件中调用next()方法实现。 可以在管道中的下一个组件之前和之后执行工作。 在ASP.NET Core中,已经有很多内置的中间件组件可供使用,详见官网:https://docs.microsoft.com/zh-cn/aspnet/core/fundamentals/middlew
API 新姿势 - 签名
weixin_34261739的博客
11-03 303
laravel-api-auth laravel API 这是一个 laravel 的 API 包, laravel-api-auth 采用密钥加密的方式,只要客户端不被反编译从而泄露密钥,该方式理论上来说是安全的(不考虑量子计算机的出现)。 项目地址: github.com/96qbhy/laravel-api-aut...
设计接口时,为其添加签名---详细教程
阿土不土的博客
01-23 2288
设计接口时,为其添加---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
系统流程及签名生成规则
weixin_33948416的博客
11-30 1373
2019独角兽企业重金招聘Python工程师标准>>> ...
使用数字签名进行的设计实现
有文档被优快云自动升级成了VIP免费,需要调整的可以私信
02-17 1432
使用数字签名进行的实现
php访问信息签名,PHP API 接口访问之签名验证
weixin_39551996的博客
04-02 242
设计思路:1、前后端商定统一的加密规则;2、后端配置文件保存固定的验证字符串;3、对前端传的加密sign进行合法性验证、时效验证、唯一性验证;代码如下:1、验证前端传过来的sign(抛出异常的接口是我自己框架封装的接口,没封装可以改成Exception)/*** Created by PhpStorm.* User: hjx(2896751917@qq.com)* Date: 2019/2/21*...
php邮箱验证laravel接口,Laravel 5 API 服务端支持签名认证
weixin_29384861的博客
03-27 255
Laravel 5 API 服务端支持签名认证Api Authorized Signature Middleware for Laravel 5关于The larsign package authorized signature server.FeaturesHandles larsign requestsInstallationRequire the havenshen/larsign pa...
如何实现简单的请求
夫唯不争,故天下莫能与之争。
02-19 1948
如何利用对称加密实现简单的请求。 前期沟通 服务端与客户端需要在前期敲定以下内容: 秘钥对(apiKey和secretKey),由服务端通过安全的途径交给客户端,如邮件、IM等内部渠道。 头部名称,包括APIKey、时间戳、签名及业务相关的头部。 加签算法,即根据业务参数及secretKey如何生成加密签名,客户端与服务端需保持一致。由客户端加密后的内容,在服务端用同样的秘钥加密...
深入理解JWT授机制与应用
在开发过程中,开发者通常不需要了解加密和签名的具体细节,因为这通常会使用一些现成的库来完成,比如在Node.js中可以使用Passport和JWT等中间件,在前端可以使用像JWTDecode这样的库来解析和使用JWT。 另外,JWT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值