PHP开发API接口签名验证

最新推荐文章于 2025-03-31 10:12:28 发布
最新推荐文章于 2025-03-31 10:12:28 发布
阅读量549 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: API 文章标签: API 接口开发 签名验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40012295/article/details/84937193
本文介绍了一种基于SHA256的HMAC算法实现的服务端数据签名验证机制,包括生成签名、验证签名完整性和时效性的具体步骤。通过使用私钥和时间戳,确保了数据传输的安全性和防止重放攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/**
 * 服务端验证签名
 */
class ApiValidate {
    // 加入签名中的秘钥
    private $salt = 'G#rl;*49-T?%v,.';

    /**
     * 获取签名sign
     * [getSign description]
     * @param  [type] $data [description]
     * @return [type]       [description]
     */
    private function getSign($data)
    {
        ksort($data);
        $param = http_build_query($data);
        return hash_hmac('sha256', $param, $this->salt);
    }

    /**
     * 获取用户信息返回给服务端
     * [getUserInfo description]
     * @return [type] [description]
     */
    public function getUserInfo()
    {
        $data = [
            'name' => '张三',
            'age' => 18,
            'sex' => '男',
            'time' => time()
        ];
        $sign = $this->getSign($data);
        $data['sign'] = $sign;
        return $data;
    }

    /**
     * 验证签名
     * [validateSign description]
     * @param  [type] $data [description]
     * @return [type]       [description]
     */
    public function validateSign($data)
    {
        if (empty($data['sign'])) {
            return '请发送数据签名';
        }
        if (empty($data['time'])) {
            return '请求参数有误';
        }
        // 验证时间是否过期 
        if (time() > $data['time']+300) {
            return '签名时间已过期';
        }
        // 验证签名是否正确
        $apiSign = $data['sign'];
        unset($data['sign']);
        $sign = $this->getSign($data);
        if ($sign !== $apiSign) {
            return '签名验证失败';
        }
        return '验证成功';
    }
}

 

系统的讲解 - PHP 接口签名验证
monkeyapi的博客
01-08 408
工作中,我们时刻都会和接口打交道,有的是调取他人的接口,有的是为他人提供接口,在这过程中肯定都离不开签名验证。 在设计签名验证的时候,一定要满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效性,过期作废。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 下面主要分享一些工作中常用的加解密的方法。 常用验证 举例:/api/login?usernam...
php接口数据加密、解密、验证签名
10-24
主要介绍了php接口数据加密、解密、验证签名的相关资料,需要的朋友可以参考下
API接口对接生成签名验证签名
11-01
API接口生成签名验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
API常用签名验证方法(PHP实现)
JiaSureZ的博客
05-14 426
使用场景 现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。 API签名验证 这里我们引入业内比较通用的签名验证来对接口进行参数加密,有以下优势。 请求的唯一性:计算出的签名是唯一的,可以用来验证。 参数的可变性:参数中包含时间戳参数,这就保证每次的请求计算出得签名都是不一样的。 请求的时效:由于请求中带有当前发起请求的时间戳参数,
php api验证签名
xiaoyun888_的博客
03-17 318
大概逻辑就是:客服端发来post数据,在发送的时候给数据加一个sign字段,字段内容是客户端和服务端通过appid和serect进行加密的字符串,客户端和服务端的appid和serect是一样的。 服务端收到数据后,把数据按照客户端一样的方式生成sign,再进行比较,相等则说明通过,验签主要是为了验证是否是指定用户发来的请求。避免安全隐患 <?php namespace ThreeTrafficNanchang\Controller; use ThreeTrafficNanchang\Mode.
PHP API接口签名验证
weixin_30780221的博客
08-06 206
hash_hmac 在php中hash_hmac函数就能将HMAC和一部分哈希加密算法相结合起来实现HMAC-SHA1 HMAC-SHA256 HMAC-MD5等等算法。函数介绍如下: string hash_hmac(string $algo, string $data, string $key, bool $raw_output = false) algo:要使用的哈希算法名称,...
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
PHP开发api接口安全验证操作实例详解
10-15
PHP开发中,API接口的安全验证是至关重要的,它能防止未经授权的第三方恶意调用接口,保护系统的数据安全。本文将深入探讨如何在PHP中实现API接口的安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先...
PHP开发api接口安全验证的实例讲解
12-18
使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口...
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
详解PHPapi开发时如何设计签名验证
菜鸟教程
04-20 891
签名验证是通过对请求参数进行加密处理,生成签名值,并将签名值附加到请求中,服务器端再根据相同的加密算法和密钥对请求参数进行加密,生成签名值并进行比对,从而验证请求的合法性。客户端请求数据的准备,包括请求参数的获取和排序。请求参数的加密处理,生成签名值。将签名值附加到请求中,发送到服务器端。服务器端接收请求,获取请求参数和签名值。对请求参数进行加密处理,生成签名值,并与接收到的签名值进行比对,验证请求的合法性。
php验签,php接口签名验证
weixin_31667199的博客
03-10 353
在做一些api接口设计时候会遇到设置权限问题,比如我这个接口只有指定的用户才能访问。很多时候api接口是属于无状态的,没办法获取session,就不能够用登录的机制去验证,那么大概的思路是在请求包带上我们自己构造好的签名,这个签名必须满足下面几点:a、唯一性,签名是唯一的,可验证目标用户b、可变性,每次携带的签名必须是变化的c、时效性,具有一定的时效,过期作废d、完整性,能够对数据包进行验证,防止...
API 接口签名验证机制(含 JS + PHP 示例)
Pasa吴技术博客
01-06 1786
接口签名验证机制详解(含 JS + PHP 示例)
PHP接口验签----一种简单可行的方式
编程架构三分天下:分层、分治、分时序。
03-16 3253
背景:服务端和第三方服务有接口对接,那么第三方有没有一种简单的方式判断请求发自合法的合作方呢? 有一种简洁的方式就是,双方维护同一份私钥,在发起请求的时候,发起方将当前的请求参数,按照key值进行排序,然后’key=value’拼接到私钥后面,进行md5的编码。接收方以同样的处理方式,签名一致则合法,否则非法。如下为php的对应的sig生成算法举例: //摘抄自http://docs.de...
PHP JWT API接口验签
哼哈的专栏
05-12 258
Composer:https://github.com/lcobucci/jwt <?php use Lcobucci\JWT\Builder; use Lcobucci\JWT\Signer\Hmac\Sha256; use Lcobucci\JWT\Parser; class Jwt { //生成token public function createToken() { $key = 'abcd'; $signer = new S.
php接口api数据签名及验签
php-yyds
11-17 944
api数据签名作用:通过使用签名可以验证数据在传输过程中是否被篡改或修改。接收方可以使用相同的签名算法和密钥对接收到的数据进行验证,如果验证失败则表明数据被篡改过
PHP 开发API接口签名验证
最新发布
pandamf的专栏
03-31 1018
所谓man-in-the-middle攻击简单讲就是指恶意的黑客可以在客户端和服务器端的明文通信通道上做手 脚,黑客可以监听通信内容,偷取机密信息,甚至可以篡改通信内容,而通过加密后的通信内容理论上是无法被破译的。在仅适用短信登录做手机端app时,可以设置secret的过期时间,短信登录后,保存appid(userid)与密钥secret,每当用户打开APP时,先联网请求登录是否过期,过期重新短信登录获取新的secret。可以看到这个方法,需要传入必要的参数和appsecret ,从而生成sign。
PHP实现API接口签名验证
06-11
以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串。 2. 将待签名字符串和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值