http请求中简单的签名验证

最新推荐文章于 2025-05-11 11:59:37 发布
最新推荐文章于 2025-05-11 11:59:37 发布
阅读量3k 收藏 7
点赞数
分类专栏: php 文章标签: php
原文链接:https://github.com/entere/sign
版权
本文详细介绍了URL签名机制,一种确保RESTful API接口安全性的方法。通过客户端计算参数组合的哈希值并添加到URL请求中,防止数据在传输过程中被篡改。文章提供了PHP实例,展示了如何使用Composer安装包实现签名生成。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

安装

安装包文件

composer require "entere/sign:v1.0.0"

使用

php 实例:

<?php
require_once("./src/Sign.php");

use Entere\Sign\Sign;

$params = [
    'access_key'=>'7576762362',
    'timestamp'=>'1439279383630',
    'screen_name'=>'entere',
    'format'=>'json'
];
$secret = 'f827182b1051075e601c73ac1ae329fa';
$result = Sign::generateSign($params,$secret);
return $result;

?>

Laravel5 实例:

<?php 

namespace App\Http\Controllers;

use Entere\Sign\Sign;

class WelcomeController extends Controller {
    
    public function index()
    {
        $params = [
            'access_key'=>'7576762362',
            'timestamp'=>'1439279383630',
            'screen_name'=>'entere',
            'format'=>'json'
        ];
        $secret = 'f827182b1051075e601c73ac1ae329fa';
        $result = Sign::generateSign($params,$secret);
        return $result;

    }
}

?>

说明

客户端与服务端的数据交互,大部分应用都采用的 RESTful API 的方式,那么如何确保 API 接口的安全性呢?URL 签名的方式可以确保请求的过程中参数不被修改。

签名的机制是由开发者在 API 客户端计算出系列参数组合的哈希值,将产生的信息添加到 URL 请求的 sign 参数。

例如 API 请求参数如下:

{
    "access_key":"7576762362",
    "timestamp":"1439279383630",
    "screen_name":"entere",
    "format":"json"
}

1、按参数名进行升序排列

access_key, timestamp, screen_name, format 其中不包括空值参数

排序后的参数为:

{
    "access_key":"7576762362",
    "format":"json",
    "screen_name":"entere",
    "timestamp":"1438279283630",
    
}

2、构造签名串

以secret字符串开头,追加排序后参数名称和值,格式:

secretkey1value1key2value2...

假设 secret的值为 f827182b1051075e601c73ac1ae329fa 应用到上述示例得到签名串为:

f827182b1051075e601c73ac1ae329faaccess_key7576762362formatjsonscreen_nameenteretimestamp1438279283630

3、计算签名

对上面的签名串进行 md5 签名:

md5(f827182b1051075e601c73ac1ae329faaccess_key7576762362formatjsonscreen_nameenteretimestamp1438279283630)

并把值转成小写:

927c0fc11caaf98840ed7773b348685c

4、添加签名

将计算的签名值以 sign 参数名,附加到 URL 请求中。一个典型的 API 请求如下所示

https://xxx.com/xxx?access_key=7576762362&format=json&screen_name=entere&timestamp=1438279283630&sign=927c0fc11caaf98840ed7773b348685c

5、服务器验证

验证请求者的身份:简单判断 access_key。

防止重放攻击:服务器端首先验证时间戳 timestamp 是否有效,比如是服务器时间戳 5 分钟之前的请求视为无效。

保护传输中的数据:服务端收到请求时,将基于相同签名方法(去掉 sign 参数)重新计算哈希,并将其与请求中包括的哈希值进行匹配。如果哈希值不匹配,服务器将返回 401(未授权被拒绝)错误码。

License

MIT

Java http加签、验签实现方案
qq_52231508的博客
04-18 1776
数据在网络传输过程中,容易被抓包。如果使用的是HTTP协议的请求/响应(Request OR Response),它是明文传输的,都是可以被截获、篡改、重放(重发)的。所以需要进行数据的加密验签,所以需要考虑以下几点。
HTTP接口签名校验
weixin_38370441的博客
08-31 1294
文章目录为什么要签名校验常用签名校验算法实例 为什么要签名校验 一般对外的http接口加签的目的是防止数据被篡改。 举个例子,A正在某银行网站给B转账,转入卡号和金额输入完成后生成请求报文,然后加密报文传送给银行后台。银行收到请求后,解密得到明文,然后解析得到B的卡号和转账金额等信息,继续走后续转账流程。 如果传输使用对称加密算法(最常用的),客户端和服务端都是用同一个对称密钥,那么这个对称密钥就存在泄露的可能性。一旦泄露,攻击者X可以截获正常的报文,解密后替换卡号和金额,然后重新用同一个密钥加密被篡改的报
基于Spring Boot的HTTP请求签名验证实现解析
最新发布
weixin_40467376的博客
05-11 55
在分布式系统交互中,API接口的安全性至关重要。本文将深入解析基于Spring Boot实现的HTTP请求签名验证机制,该方案支持GET/POST等多种请求方式,提供时效性验证和数据完整性保障。以下是核心实现的技术要点解析。增加流量限频控制实现双向证书验证支持多种哈希算法添加OpenAPI规范支持集成API管理平台通过持续优化验签流程和完善监控机制,可以有效构建安全可靠的API网关体系。附完整代码生产秘钥私钥工具类// 1. 选择算法(RSA/EC/DSA)
HTTP请求签名校验逻辑
ruangongtaotao的专栏
07-10 1168
签名算法中定义签名字符串有效期的一般做法是在请求参数中加入一个时间戳参数。客户端在生成签名字符串时,将时间戳参数和其他请求参数一起参与签名的计算,服务器端在接收到请求后,会根据相同的签名算法计算签名字符串并比对时间戳参数,如果时间戳过期,则拒绝请求。具体来说,签名算法的实现可以包含以下几个步骤:1在请求参数中加入一个时间戳参数,例如timestamp。2将时间戳参数和其他请求参数一起进行签名计算,得到签名字符串。3在请求中添加签名字符串和时间戳参数,发送给服务器。
http接口接入签名校验
qq_45047031的博客
07-12 636
它是 Spring 提供的一种验证机制,用于在数据绑定之前对用户输入的数据进行验证和校验。1,@ControllerAdvice注解:是一个用于处理全局异常、全局数据绑定和全局数据预处理的注解,这里我们用到的是全局数据预处理。随便写一个request类,这是父类,所有的request类都要实现该类,才能走签名校验,sign就是我们需要的签名校验字段。实现spring提供的validator接口,support的判断条件用的是不是继承于我们的request父类。至此,我们就完成了简单的接口签名校验了。
http接口签名机制
Monten_Cristo的博客
06-26 3038
第三方接口
Go-GolangHttpAPI签名验证工具包提供对API请求签名生成签名校验等工具类
08-13
Go-Golang HttpAPI签名验证工具包是专为此目的设计的,它提供了生成和校验API请求签名的功能,有助于防止数据篡改和未经授权的访问。下面将详细介绍这个工具包的工作原理和使用方法。 1. **签名生成** - **哈希...
互联网开发|通用调试工具(http请求测试,参数签名,RSA加解密,google验证器,js简单混淆,sql格式化,批量修改文件名)等)
03-29
互联网开发工作中,经常需要一些辅助处理,例如:http接口访问测试,参数名排序/签名计算,加密解密,编码解码,替换短信验证的google验证器调试,js简单混淆,cmd指令程序运行,批量生成某种语句指令,生成RSA秘钥对,...
API接签名验证
08-01
Access Token是一种短期的、一次性使用的凭证,客户端需要在请求中携带此Token,服务端会验证Token的有效性后再进行签名验证,这样即使签名被截获,也无法用于其他请求。 通过以上步骤,我们可以看到API接口签名...
Python-Api签名验证样例
08-10
在API(应用程序编程接口)开发中,为了确保数据的安全传输,通常会采用签名验证机制。本文将详细探讨Python中API签名验证的相关知识点,以"Python-Api签名验证样例"为例,结合`flask-apiSign-demo-master`这个...
第三方系统访问芋道源码接口,需要签名验证,资源为访问调用接口代码示例
02-28
本资源包围绕“第三方系统访问芋道源码接口”的安全需求,提供了一套详细的签名验证流程和调用接口的代码示例。 芋道源码作为一个开放的代码库或API服务提供方,其接口的开放访问自然需要具备一定的安全防护措施,...
HTTP中的证书以及签名
08-24
1.介绍非对称加解密机制 2.HTTP中的加解密原理以及相关的证书和签名机制
RSA签名及验签 SHA-1加密 HTTP协议开发
11-22
服务器是JAVA平台,本地是.net平台,需要通过HTTP post方式进行协议开发及通信,本地信息需要经过私钥签名,服务器收到信息后进行公钥验签;同时在得到服务器返回结果后进行解密。代码中包括 签名 SHA-1加密 BASE64解码 压缩算法 验签。
http请求签名生成算法
瑾修的博客
12-02 1027
http请求签名生成算法、 lua & golang
Http请求加签、验证操作
weixin_30834019的博客
07-07 757
加签、验签的作用 常见的http请求交互过程中,请求参数通过url或者request body等形式传输。但是由于http请求的开放性,使得请求参数很容易被拦截篡改。因此,需要对请求参数进行加签,然后在请求接受方对请求参数进行验签,确保两个签名是一样的,验签通过之后请求处理方就可以进行业务逻辑处理了。 但是,加签和验签只能解决请求传输过程中参数篡改的问题,并不能解决敏感参数传输的安全性问题。 ...
接口安全--http数字签名
少年乖
05-17 1063
web service - rest(representational state transfer)面向资源的接口安全常用手段https://blog.youkuaiyun.com/u011521890/article/details/55506716
HTTPS(一)自签名https
YongYu_IT的专栏
03-23 2747
1、准备一个空白的CentOS 查看系统版本 $ su # cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core)  2、安装RoR环境 参照《CentOS 7 快速安装RoR环境 》 安装结果: $ ruby -v ruby 2.4.1p111 (2017-03-22 revision 58053) [x86_64...
HTTP API】简单http签名算法
藏经阁 | 玄苦
05-27 1645
常见的CS架构中,客户端经常需要请求服务端提供的公网接口。由于接口暴露在公网,存在以下几个问题 接口就很容易被其他人利用甚至有可能导致被刷接口影响服务可用性。 请求被篡改,影响实际请求结果 其它问题 为了解决这些问题,最简单的方法是客户端请求服务端的时候加个sig签名,服务端对sig签名做个判断。 通过简单的sig签名能够防住一些被刷接口的可能,同时也能够做下请求校验,可以达到初步的防御效果。...
java生成ssl证书_Java生成个人签名的SSL证书
weixin_33291684的博客
02-13 743
此方式仅为个人签名的SSL证书, 个人签名的版本是不受公网路由信任的,最直接的影响是打开个人签名https网站时,页面会提示"此网站不受信任,是否添加例外"之类的警告,点击add exception 之后才会访问进去.而更严重的影响是,在service层面. 前端发送异步请求到service, 使用个人签名证书的service是无法被https的前端页面(注意: HTTPS的前端页面不能访问ht...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值