在对于API的开发中,最让人头疼的就是接口数据暴露,让一些有心之人抓包之后恶意请求,那么如何解决这一弊端呢?自然而然的我们就想到了加密 ,那我们又如何加密,如何解密,才能使之有最安全的效率呢?这是一个值得我们深思的问题,带着这些问题,我们来尝试着 一一解决问题
首先加密校验是需要在每次请求的时候,都要去做的,所以我们需要写一个公共类,让其他类来继承,暂定这个类就为 Common
<?php
/**
* Created by PhpStorm.
* User: Administrator
* Date: 2019/8/15
* Time: 15:00
*/
namespace app\index\controller;
use think\Controller;
class Common extends Controller
{
public function _initialize(){
$this->checkRequestAuth();
}
public function checkRequestAuth(){
##获取头信息
$header = request()->header();
halt($header);
}
}
上面代码很简单 我们就是单纯的获取一下header里面的信息 为什么要获取header而不是body里的信息呢 可能header好听吧(手动滑稽), 那么既然我们获取的是header里面的内容,那么这里面去放什么内容,才能是我们更好的校验呢,这就需要和前端小姐姐共同商议啦,当然,我这边已经确定,我们需要的参数啦
sign: 参数加密后生成的签名
version: APP版本号
app_type: APP类型 ios android之类
did: 唯一标识ID
model: 类似手机型号之类的值
在我们定义好header里面的内容之后,那么我们就要开始在Common类里面大展拳脚了 ,我们需要了解 sign 加密是需要客户端去做的 ,解密是需要我们服务端来做的,但是正常流程来说,是需要我们服务端测试加密解密无误后,才开放接口给客户端的,所以这里,我们必须去实现加密功能,接下来,我们去搞一波加密算法,我们使用 AES加密算法来进行测试
<?php
namespace app\common\lib;
/**
* aes 加密 解密类库
* @by singwa
* Class Aes
* @package app\common\lib
*/
class Aes {
/**
* var string $method 加解密方法,可通过openssl_get_cipher_methods()获得
*/
protected $method;
/**
* var string $secret_key 加解密的密钥
*/
protected $secret_key;
/**
* var string $iv 加解密的向量,有些方法需要设置比如CBC
*/
protected $iv;
/**
* var string $options (不知道怎么解释,目前设置为0没什么问题)
*/
protected $options;
/**
* 构造函数
*
* @param string $key 密钥
* @param string $method 加密方式
* @param string $iv iv向量
* @param mixed $options 还不是很清楚
*
*/
public function __construct($key, $method = 'AES-128-ECB', $iv = '', $options = 0)
{
// key是必须要设置的
$this->secret_key = isset($key) ? $key : config('app.aeskey');
$this->method = $method;
$this->iv = $iv;
$this->options = $options;
}
/**
* 加密方法,对数据进行加密,返回加密后的数据
*
* @param string $data 要加密的数据
*
* @return string
*
*/
public function encrypt($data)
{
return openssl_encrypt($data, $this->method, $this->secret_key, $this->options, $this->iv);
}
/**
* 解密方法,对数据进行解密,返回解密后的数据
*
* @param string $data 要解密的数据
*
* @return string
*
*/
public function decrypt($data)
{
return openssl_decrypt($data, $this->method, $this->secret_key, $this->options, $this->iv);
}
}
秘钥写在配置文件里
return [
'aeskey' => 'asdasd4wq5646', #AES秘钥 服务端必须和客户端保持一致
'method' => 'AES-128-ECB',
'iv' => '',
'options' => '0',
];
现在我们的加密算法已经准备就绪,下来我们需要做的就是,将传进来的参数进行整合,加密后,返回,这样我们的 sign就生成了,因为生成sign属于鉴权类型,所以我们 在app\common\lib下新建 IAuth 类
<?php
/**
* Created by PhpStorm.
* User: Administrator
* Date: 2019/8/15
* Time: 16:06
*/
namespace app\common\lib;
use app\common\lib\Aes;
class IAuth
{
/**
* 生成每次请求的sign
* @param array $data
* @return string
*/
public static function setSign($data = []){
## 1 按字典进行相对应的排序
ksort($data);
## 2 转换为&拼接的参数
$string = http_build_query($data);
## 3 通过 aes 来加密
$string = (new Aes())->encrypt($string);
return $string;
}
}
生成sign类写好了,我们去测试下
<?php
/**
* Created by PhpStorm.
* User: Administrator
* Date: 2019/8/15
* Time: 15:03
*/
namespace app\index\controller;
use app\common\lib\Aes;
use app\common\lib\IAuth;
class Test extends Common
{
public function index(){
## 加密部分
// $data = [
// 'did'=>1,
// 'version'=>"1.1.0",
// ];
//
// halt(IAuth::setSign($data));
#解密部分
$str = "g/1A3h+7XZZrdc3Gw1yEJBEAWTiKEm/veV5vMlyFLpc=";
halt((new Aes())->decrypt($str));
}
}
加密解密都没有问题 ,生成sign成功。
如需了解更多,可以查看下一篇文章,将讲解如何对sign进行校验浅谈API开发安全之sign校验(二)
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
