PHP 开发API接口签名验证

就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床。所谓man-in-the-middle攻击简单讲就是指恶意的黑客可以在客户端和服务器端的明文通信通道上做手 脚,黑客可以监听通信内容,偷取机密信息,甚至可以篡改通信内容,而通过加密后的通信内容理论上是无法被破译的。

URL签名生成规则

API的有效访问URL包括以下三个部分: 


1. 资源访问路径,如/v1/deal/find_deals; 
2. 请求参数:即API对应所需的参数名和参数值param=value,多个请求参数间用&连接如deal_id=1-85462&appid=00000; 
3. 签名串,由签名算法生成

签名算法如下:

1. 对所有请求参数进行字典升序排列;

2. 将以上排序后的参数表进行字符串连接,如key1value1key2value2key3value3...keyNvalueN;

3. app secret作为后缀,对该字符串进行SHA-1计算,并转换成16进制编码;

4. 转换为全大写形式后即获得签名串

注意:请保证HTTP请求数据编码务必为UTF-8格式,URL也务必为UTF-8编码格式,当然了,这里的算法也是可以自己定制的,比如说这里的SHA-1 可以改为md5,等等

举个实例:

PHP服务端先要给开发者(APP)分配一个appid与appsecret (正常情况下,开发者要到服务提供商的官网申请),作为客户端,需要保留好官方颁发的appid & appsecret

appid会在请求中作为一个应用标识参与接口请求的参数传递,appsecret 将作为唯一不需要参数传递,但是它将作为验证当前请求的关键参数,只有应用开发者和颁发的服务端才知道。由于签名是依靠同样的算法加密实现,因此,应用端和服务端可以计算出相同的签名值,签名实际意义在于服务端对客户端的访问身份认证。在某种意义上签名机制有点类似用公钥方法签名,用每个应用对应的私钥值来解密,只是这种解密过程实质就是核对签名参数值的过程。

假设分配:

$appid=5288971;
$appsecret= 'r5e2t85tyu142u665698fzu';

移动客户端,需要请求服务端的参数有如下

请求地址: http://web.com/server/list

下面是需要请求的参数

$array=array('appid'=>5288971, 'menu'=>'lifestyle', 'timestamp'=>time());

按照上面的算法,我们把它翻译成php代码

function makesign($array,$secret){
	foreach ($array as $key=>$value){
		$arr[$key] = $key; 
    }
	sort($arr); //字典排序的作用就是防止因为参数顺序不一致而导致下面拼接加密不同
	// 2. 将Key和Value拼接
	$str = "";
	foreach ($arr as $k => $v) {
		$str = $str.$arr[$k].$array[$v];
	}
	//3. 通过sha1加密并转化为大写
	//4. 大写获得签名
	$restr=$str.$secret;
	$sign = strtoupper(sha1($restr));
	return $sign;
}

可以看到这个方法,需要传入必要的参数和appsecret ,从而生成sign

然后再发送的时候 除了上面的参数,还有sign ,通过约定好的method方式发送参数到请求接口

服务端验证请求的合法性:

服务端查询appid对应的密钥

$model=Model::find()->where("appid=:appid")->params([":appid"=>$serverArray['appid']])->one();
 if($model){
   $serverSecret=$model->appsecret;
}

查到密钥后,服务器还是使用约定的算法生成sign 并与收到的sign进行比较,相同则通过验证

$rq['appid'] = $_REQUEST['appid'];
$rq['menu'] = $_REQUEST['menu'];
$rq['timestamp'] = $_REQUEST['timestamp'];
$request_sign = $_REQUEST['sign'];
$make_sign = makesign($rq,$serverSecret);
if($request_sign == $make_sign ){
	echo 'check success';
}else{
	echo 'check fail';	
}

在仅适用短信登录做手机端app时,可以设置secret的过期时间,短信登录后,保存appid(userid)与密钥secret,每当用户打开APP时,先联网请求登录是否过期,过期重新短信登录获取新的secret。

附加一个 网友的验证方法

/*
 * 生成签名,$args为请求参数,$key为私钥
 */
function makeSignature($args, $key)
{
    if(isset($args['sign'])) {
        $oldSign = $args['sign'];
        unset($args['sign']);
    } else {
        $oldSign = '';
    }

    ksort($args);
    $requestString = '';
    foreach($args as $k => $v) {
        $requestString .= $k . '=' . urlencode($v);
    }
    $newSign = hash_hmac("md5",strtolower($requestString) , $key);
    return $newSign;
}

原创不易,希望可以点赞或打赏,非常感谢。有问题欢迎留言或交流

API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串。 2. 将待签名字符串和应用程序的appsecret进行拼接,然后通过哈希算法(如SHA1或MD5)计算得到签名值。 3. 将签名值作为参数(通常是sign或signature)添加到原有的请求参数中,然后发送请求。 4. 服务器接收到请求后,按照同样的方式计算签名,将计算出的签名值与请求中的签名值进行比对,如果一致则认为请求合法,否则认为请求不合法。 以下是一个简单的示例代码: ```php <?php // 定义应用程序的appsecret $appsecret = "your_app_secret"; // 获取请求参数 $params = $_POST; // 按照参数名进行字典排序 ksort($params); // 将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串 $sign_str = ""; foreach ($params as $key => $value) { $sign_str .= $key . "=" . $value . "&"; } $sign_str .= "appsecret=" . $appsecret; // 计算签名值 $sign = md5($sign_str); // 验证签名 if ($sign != $params['sign']) { // 签名验证失败 echo "Invalid Signature"; } else { // 签名验证成功 // 执行业务逻辑 } ?> ``` 在实际应用中,为了增加安全性,可以使用更加复杂的签名算法,如RSA数字签名等。另外,还可以限制请求的时间戳和nonce值,防止重放攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序猿John

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值