PHP 开发API接口签名验证

原创 已于 2025-04-01 14:07:04 修改 · 999 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

于 2025-03-31 10:12:28 首次发布

就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床。所谓man-in-the-middle攻击简单讲就是指恶意的黑客可以在客户端和服务器端的明文通信通道上做手 脚,黑客可以监听通信内容,偷取机密信息,甚至可以篡改通信内容,而通过加密后的通信内容理论上是无法被破译的。

URL签名生成规则

API的有效访问URL包括以下三个部分: 


1. 资源访问路径,如/v1/deal/find_deals; 
2. 请求参数:即API对应所需的参数名和参数值param=value,多个请求参数间用&连接如deal_id=1-85462&appid=00000; 
3. 签名串,由签名算法生成

签名算法如下:

1. 对所有请求参数进行字典升序排列;

2. 将以上排序后的参数表进行字符串连接,如key1value1key2value2key3value3...keyNvalueN;

3. app secret作为后缀,对该字符串进行SHA-1计算,并转换成16进制编码;

4. 转换为全大写形式后即获得签名串

注意:请保证HTTP请求数据编码务必为UTF-8格式,URL也务必为UTF-8编码格式,当然了,这里的算法也是可以自己定制的,比如说这里的SHA-1 可以改为md5,等等

举个实例:

PHP服务端先要给开发者(APP)分配一个appid与appsecret (正常情况下,开发者要到服务提供商的官网申请),作为客户端,需要保留好官方颁发的appid & appsecret

appid会在请求中作为一个应用标识参与接口请求的参数传递,appsecret 将作为唯一不需要参数传递,但是它将作为验证当前请求的关键参数,只有应用开发者和颁发的服务端才知道。由于签名是依靠同样的算法加密实现,因此,应用端和服务端可以计算出相同的签名值,签名实际意义在于服务端对客户端的访问身份认证。在某种意义上签名机制有点类似用公钥方法签名,用每个应用对应的私钥值来解密,只是这种解密过程实质就是核对签名参数值的过程。

假设分配:

$appid=5288971;
$appsecret= 'r5e2t85tyu142u665698fzu';

移动客户端,需要请求服务端的参数有如下

请求地址: http://web.com/server/list

下面是需要请求的参数

$array=array('appid'=>5288971, 'menu'=>'lifestyle', 'timestamp'=>time());

按照上面的算法,我们把它翻译成php代码

function makesign($array,$secret){
	foreach ($array as $key=>$value){
		$arr[$key] = $key; 
    }
	sort($arr); //字典排序的作用就是防止因为参数顺序不一致而导致下面拼接加密不同
	// 2. 将Key和Value拼接
	$str = "";
	foreach ($arr as $k => $v) {
		$str = $str.$arr[$k].$array[$v];
	}
	//3. 通过sha1加密并转化为大写
	//4. 大写获得签名
	$restr=$str.$secret;
	$sign = strtoupper(sha1($restr));
	return $sign;
}

可以看到这个方法,需要传入必要的参数和appsecret ,从而生成sign

然后再发送的时候 除了上面的参数,还有sign ,通过约定好的method方式发送参数到请求接口

服务端验证请求的合法性:

服务端查询appid对应的密钥

$model=Model::find()->where("appid=:appid")->params([":appid"=>$serverArray['appid']])->one();
 if($model){
   $serverSecret=$model->appsecret;
}

查到密钥后,服务器还是使用约定的算法生成sign 并与收到的sign进行比较,相同则通过验证

$rq['appid'] = $_REQUEST['appid'];
$rq['menu'] = $_REQUEST['menu'];
$rq['timestamp'] = $_REQUEST['timestamp'];
$request_sign = $_REQUEST['sign'];
$make_sign = makesign($rq,$serverSecret);
if($request_sign == $make_sign ){
	echo 'check success';
}else{
	echo 'check fail';	
}

在仅适用短信登录做手机端app时,可以设置secret的过期时间,短信登录后,保存appid(userid)与密钥secret,每当用户打开APP时,先联网请求登录是否过期,过期重新短信登录获取新的secret。

附加一个 网友的验证方法

/*
 * 生成签名,$args为请求参数,$key为私钥
 */
function makeSignature($args, $key)
{
    if(isset($args['sign'])) {
        $oldSign = $args['sign'];
        unset($args['sign']);
    } else {
        $oldSign = '';
    }

    ksort($args);
    $requestString = '';
    foreach($args as $k => $v) {
        $requestString .= $k . '=' . urlencode($v);
    }
    $newSign = hash_hmac("md5",strtolower($requestString) , $key);
    return $newSign;
}

原创不易,希望可以点赞或打赏,非常感谢。有问题欢迎留言或交流

PHP实现签名
qq_39294511的博客
05-23 686
# PHP实现通用签名生成与验证类详解 在开发中,为了确保数据传输的安全性,通常会使用签名机制。本文将介绍一个基于PHP的通用签名生成与验证类,并详细解释其工作原理和应用场景。 ## 签名机制的作用 签名机制主要用于以下几个方面: 1. **数据完整性校验**:确保请求中的参数未被篡改。 2. **身份认证**:确认请求来源的合法性,防止伪造请求。 3. **防重放攻击**:通过时间戳或随机字符串等机制,防止同一请求被多次使用。 ## 示例代码功能概述 该类 `Sign` 提供了两个主要方法
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
php接口数据加密、解密、验证签名
10-24
主要介绍了php接口数据加密、解密、验证签名的相关资料,需要的朋友可以参考下
系统的讲解 - PHP 接口签名验证
新亮笔记
03-25 516
概览工作中,我们时刻都会和接口打交道,有的是调取他人的接口,有的是为他人提供接口,在这过程中肯定都离不开签名验证。在设计签名验证的时候,一定要满足以下几点:可变性:每次的...
php验签,php接口签名验证
weixin_31667199的博客
03-10 349
在做一些api接口设计时候会遇到设置权限问题,比如我这个接口只有指定的用户才能访问。很多时候api接口是属于无状态的,没办法获取session,就不能够用登录的机制去验证,那么大概的思路是在请求包带上我们自己构造好的签名,这个签名必须满足下面几点:a、唯一性,签名是唯一的,可验证目标用户b、可变性,每次携带的签名必须是变化的c、时效性,具有一定的时效,过期作废d、完整性,能够对数据包进行验证,防止...
API 接口签名验证机制(含 JS + PHP 示例)
Pasa吴技术博客
01-06 1728
接口签名验证机制详解(含 JS + PHP 示例)
PHP接口验签----一种简单可行的方式
编程架构三分天下:分层、分治、分时序。
03-16 3248
背景:服务端和第三方服务有接口对接,那么第三方有没有一种简单的方式判断请求发自合法的合作方呢? 有一种简洁的方式就是,双方维护同一份私钥,在发起请求的时候,发起方将当前的请求参数,按照key值进行排序,然后’key=value’拼接到私钥后面,进行md5的编码。接收方以同样的处理方式,签名一致则合法,否则非法。如下为php的对应的sig生成算法举例: //摘抄自http://docs.de...
PHP开发api接口安全验证操作实例详解
10-15
PHP开发中,API接口的安全验证是至关重要的,它能防止未经授权的第三方恶意调用接口,保护系统的数据安全。本文将深入探讨如何在PHP中实现API接口的安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先...
PHP开发api接口安全验证的实例讲解
12-18
使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口...
PHP JWT API接口验签
哼哈的专栏
05-12 253
Composer:https://github.com/lcobucci/jwt <?php use Lcobucci\JWT\Builder; use Lcobucci\JWT\Signer\Hmac\Sha256; use Lcobucci\JWT\Parser; class Jwt { //生成token public function createToken() { $key = 'abcd'; $signer = new S.
php接口api数据签名及验签
php-yyds
11-17 930
api数据签名作用:通过使用签名可以验证数据在传输过程中是否被篡改或修改。接收方可以使用相同的签名算法和密钥对接收到的数据进行验证,如果验证失败则表明数据被篡改过
thinkphp在线签名jSignature
06-05
按照tp配置好本地之后直接访问就可以了,刚好要做到签名的功能,小白一个,在网上搜索了半天看到这个插件,试了试挺好用的,生成的是base64,转换成图片保存就可以了。
PHP开发API接口签名验证
qq_40012295的博客
12-21 547
/**  * 服务端验证签名  */ class ApiValidate {     // 加入签名中的秘钥     private $salt = 'G#rl;*49-T?%v,.';     /**      * 获取签名sign      * [getSign description]      * @param  [type] $data [description]      * @r...
PHP开发API接口签名生成及验证
qq_25285531的博客
03-05 924
开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 我们在设计签名验证的时候,请注意要满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效,过期作废等。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 一、签名参数sign生成的方法 第1步...
Uniapp && Php 接口数据传输验签
weixin_42762981的博客
07-15 573
Uniapp&&Php接口数据传输验签。
php和小程序前后端 验签
守护大白菜的博客
06-13 620
php后端和前端进行接口验签,防止刷接口
API常用签名验证方法(PHP实现)
Anzexi123的博客
07-27 764
现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要(hash)签名并进行base64_encode编码(便于显性传输和对比),假设签名密钥为 test ,则提取出的摘要签名并进行base64_encode的值为。请求的唯一性:计算出的签名是唯一的,可以用来验证
PHP接口签名怎么写
最新发布
ABc1237950的博客
07-19 789
在数据传输过程中,通过特定的算法对传输的数据进行加密处理,生成一个独特的标识符,即签名。接收方在接收到数据后,使用相同的算法对接收到的数据进行加密处理,并与发送方提供的签名进行比对,从而验证数据的完整性和发送方的身份。通过选择合适的签名算法、确定好签名参数并使用PHP的相关函数来生成和验证签名,我们可以实现数据的完整性和真实性的验证,从而保障网络通信的安全性。:接下来,我们需要确定参与签名的参数。需要注意的是,参数的顺序和格式对签名结果有重要影响,因此我们需要确保在签名过程中参数的顺序和格式保持一致。
PHP实现API接口签名验证
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串。 2. 将待签名字符串和应用程序的appsecret进行拼接,然后通过哈希算法(如SHA1或MD5)计算得到签名值。 3. 将签名值作为参数(通常是sign或signature)添加到原有的请求参数中,然后发送请求。 4. 服务器接收到请求后,按照同样的方式计算签名,将计算出的签名值与请求中的签名值进行比对,如果一致则认为请求合法,否则认为请求不合法。 以下是一个简单的示例代码: ```php <?php // 定义应用程序的appsecret $appsecret = "your_app_secret"; // 获取请求参数 $params = $_POST; // 按照参数名进行字典排序 ksort($params); // 将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串 $sign_str = ""; foreach ($params as $key => $value) { $sign_str .= $key . "=" . $value . "&"; } $sign_str .= "appsecret=" . $appsecret; // 计算签名值 $sign = md5($sign_str); // 验证签名 if ($sign != $params['sign']) { // 签名验证失败 echo "Invalid Signature"; } else { // 签名验证成功 // 执行业务逻辑 } ?> ``` 在实际应用中,为了增加安全性,可以使用更加复杂的签名算法,如RSA数字签名等。另外,还可以限制请求的时间戳和nonce值,防止重放攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序猿John

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值