接口安全 PHP签名认证

最新推荐文章于 2023-06-08 10:42:29 发布
最新推荐文章于 2023-06-08 10:42:29 发布
阅读量913 收藏
点赞数
分类专栏: 知识点 文章标签: php签名认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DuTianTian_csdn/article/details/81277438
版权

 1、签名认证是什么?

        数字签名是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。

数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

        在这个以“数据为生命”的时代,每一个开发商都尽可能的收集客户的数据建立自己的BI库,各系统、各平台间数据的传输和调用变得非常普遍且非常重要;那么作为开发人员,我们不但要防止系统被攻击被入侵,我们还要确保数据的安全和完整

  2、为什么要做签名认证?

        在使用http或者soap传输数据的时候,签名作为其中一个参数,可以起到关键作用:1、鉴权(通过客户的密钥,服务端的密钥匹配);2、数据防篡改(参数是明文传输,将参数及密钥加密作为签名与服务器匹配);下面来分析下具体的方式: 

        将请求参数中的各个键值对按照key的字符串顺序升序排列(大小写敏感),把key和value拼成一串之后最后加上密钥,组成key1value1key2value2PRIVATEKEY的格式,转成utf-8编码的字节序列后计算md5,作为请求的签名。计算出来的签名串应当全为小写形式。如果某个参数的值为空,则此参数不参与签名。 

  3、签名认证哪里会用到?

        最常见的使我们在开发接口的时候,为了不被非法访问,往往我们会做签名认证,比如支付接口......

        然后就是第三方平台的开发,比如微信公众平台......

   4、方式

# 基于简单密码
双方约定密码,密码正确验证通过

# 参数签名方式【实例:https://blog.csdn.net/DuTianTian_csdn/article/details/81277189
步骤通常如下:
①接口提供方给出appid和appsecret
②调用方根据appid和appsecret以及请求参数,按照一定算法生成签名sign
③接口提供方验证签名


生成签名的步骤如下:
①将所有业务请求参数按字母先后顺序排序
②参数名称和参数值链接成一个字符串A
③在字符串A的首尾加上appsecret组成一个新字符串B
④对字符串进行md5得到签名sign


假设请求的参数为:f=1,b=23,k=33,排序后为b=23,f=1,k=33,参数名和参数值链接后为b23f1k33,首尾加上appsecret后md5:md5(secretkey1value1key2value2...secret)。


# 带有时间戳的参数签名
普通的参数签名如果被监听就可以一直调用,那么可以在签名的生成过程中增加一个时间戳.

# Time-based One-time Password Algorithm(基于时间的一次性密码算法)
OTP是基于时间的一次性算法,客户端和服务器端约定秘钥,加入时间作为运算因子得到一个6位数字。客户端请求服务端时生成一个6位数字,服务端使用相同算法验证这个6位数字是否合法。
适用于小型的普通加密..

   

 

 

 

 

 

 

 




 

DuTian11
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP接口签名校验
Pasa吴技术博客
01-06 1290
api接口签名验证
PHP实现一个简单的接口签名方法以及思路分析
最新发布
浮尘笔记
06-06 548
PHP实现一个简单的接口签名方法以及思路分析。B项目需要调用A项目的接口,由A项目为B项目分配 `AccessKey` 和 `SecretKey`,用于接口加密,确保不易被穷举,生成算法不易被猜测。最终需要确保包含签名的参数只能被有效的请求一次,重复请求则视为无效参数;并且设定参数有效时长(例如5分钟),超时则视为无效参数。
Laravel 接口 简单 签名验证
一个人的Code博客
06-08 360
1、创建中间件VerifyApiSign。文件,添加我们之前创建的中间件。3、控制器模拟测试方法。
php api接口验证签名错误,API常用签名验证方法(PHP实现)
weixin_34697798的博客
03-11 528
使用场景现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。API签名验证这里我们引入业内比较通用的签名验证来对接口进行参数加密,有以下优势。请求的唯一性:计算出的签名是唯一的,可以用来验证。参数的可变性:参数中包含时间戳参...
php 和app接口验签,「PHP开发APP接口实战008」日常安全防范之签名验证
weixin_28954201的博客
03-17 273
前言互联网很危险!站点安全需要在网站设计和使用的各个方面保持警惕。常见的站点安全威胁有SQL注入跨站脚本 (XSS)攻击跨站请求伪造 (CSRF)攻击恶意访问请求(DDos)攻击由于时间和篇幅的关系,这里就不对这些攻击手段的理论部分展开来讲了。以下是参考资料,仅供大家参考学习:站点安全Web开发安全防范注意web开发安全防范十二篇透过现在看本质,我们可以总结出,常见的攻击手段有:通过篡改请求参数,...
PHP API接口 安全
qq_24100549的博客
02-23 787
APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全的API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证 HTTP协议是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的,但是
聊聊接口安全性问题
持之以恒
09-06 1909
总结:我们写过很多接口,有没有想想接口安全性呢?jwt,openid 侧重 于 认证(就是用户是谁),OAuth2 侧重于授权(就是说这个东西是否有权限访问),接口签名呢 侧重于安全 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制)               签名介绍:  AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识...
php签名认证
红尘道,红尘练心
02-20 477
一、概述         开年第一篇,该篇主要讲述了接口开发中,如何安全认证、如何用php签名认证。 二、说说历史         签名认证是什么?为什么要做签名认证签名认证哪里会用到?no、no、no…是不是,是不是,一下子疑问就这么多了!没事儿,通过追溯历史,我们来明白这些。 1、签名认证是什么?         数字签名是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,...
php 登录安全认证,介绍几种常用的web安全认证方式
weixin_39531594的博客
03-24 483
本文为大家介绍了五种常用的web安全认证方式,具有一定的参考价值,希望能对大家有所帮助。1、Http Basic Auth这是一种最古老的安全认证方式,这种方式就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,所以现在也越来越少用了,现在都用更加安全保密的认证方式,可能某些老的平台还在用。如下图所示,弹出一个框,让你填写用户名密码。这就是Tomcat自带...
yii2+sign签名认证 demo
yunxixiao的博客
11-30 1208
代码下载 ​​​​​​yii2框架+sign签名认证-PHP文档类资源-CSDN下载 签名认证要注意满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效,过期作废等。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 yii框架行为类增加如下 部分接口想要跳过认证的 yii 添加如下代码 签名认证接口Sign.php 具体的使用方式参考 readme说明 学习笔记,仅供参考!如有侵权,请联系! ...
PHP开发API接口签名生成及验证操作示例
10-15
在API接口开发中,签名生成和验证是确保数据安全性和防止篡改的重要环节。本文将深入探讨PHP中如何实现这一功能,结合实例详细解析签名生成及验证的操作步骤。 首先,API接口签名的主要目的是为了保证请求的完整性...
PHP开发api接口安全验证操作实例详解
10-15
首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算...
基于Laravel 8.x的API接口签名认证系统
06-30
并从源码层面分析用户认证中涉及到的核心概念,通过基于接口签名认证逻辑,带领同学们实现自定义守卫者以及签名认证器,实现基于签名认证的用户登陆逻辑,并基于该守卫者实现一个接口签名认证中间件对接口请求进行...
海康威视OpenAPI安全认证库(python3)
09-05
海康威视的安全认证机制,特别是“签名认证”,是为了确保数据传输过程中的安全性和完整性。通常,这包括对请求参数进行哈希运算,并结合特定的密钥生成签名,服务器端会验证这个签名来确认请求的合法性。签名认证...
yii2使用sign签名认证
11-30
在Yii2框架中,Sign签名认证是一种常见的安全措施,用于防止数据篡改和确保请求的来源可信。这种机制广泛应用于API开发,特别是在移动应用与服务器交互或者前后端分离的架构中。签名认证的核心原理是通过一种哈希...
接口安全 接口防刷方法对比及实现思路
DuTianTian_csdn的博客
07-31 9954
为什么会有人要刷接口? 1、牟利 黄牛在 12306 网上抢票再倒卖。 2、恶意攻击竞争对手 如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。 3、压测 用 apache bench 做压力测试。 4、当程序员无聊的时候 什么是刷接口的"刷"字? 1、次数 多 2、频率 频繁,可能 1 秒上千次 3、用户身份难以识别 可能会在刷的过程中随时换浏览器或...
Laravel框架登录自带hash加密密码及验证密码
DuTianTian_csdn的博客
12-12 4322
public function editPwd() { //自定义验证 $validator = $this->validatorPwd($this->request->all()); if ($validator->fails()) { return $this->failed([], 400, '参数错误!'); ...
HTTP请求头、响应头详解
DuTianTian_csdn的博客
09-18 4068
HTTP的头域包括通用头、请求头、响应头和实体头四个部分。每个头域由一个域名,冒号(:)和域值三部分组成(说白了就是键值对)。 通用头:是客户端和服务器都可以使用的头部,可以在客户端、服务器和其他应用程序之间提供一些非常有用的通用功能,如Date头部。 请求头:是请求报文特有的,它们为服务器提供了一些额外信息,比如客户端希望接收什么类型的数据,如Accept头部。 响应头:便于客户端提供信息...
PHP实现API接口签名验证
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串。 2. 将待签名字符串和应用程序的appsecret进行拼接,然后通过哈希算法(如SHA1或MD5)计算得到签名值。 3. 将签名值作为参数(通常是sign或signature)添加到原有的请求参数中,然后发送请求。 4. 服务器接收到请求后,按照同样的方式计算签名,将计算出的签名值与请求中的签名值进行比对,如果一致则认为请求合法,否则认为请求不合法。 以下是一个简单的示例代码: ```php <?php // 定义应用程序的appsecret $appsecret = "your_app_secret"; // 获取请求参数 $params = $_POST; // 按照参数名进行字典排序 ksort($params); // 将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串 $sign_str = ""; foreach ($params as $key => $value) { $sign_str .= $key . "=" . $value . "&"; } $sign_str .= "appsecret=" . $appsecret; // 计算签名值 $sign = md5($sign_str); // 验证签名 if ($sign != $params['sign']) { // 签名验证失败 echo "Invalid Signature"; } else { // 签名验证成功 // 执行业务逻辑 } ?> ``` 在实际应用中,为了增加安全性,可以使用更加复杂的签名算法,如RSA数字签名等。另外,还可以限制请求的时间戳和nonce值,防止重放攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值