API常用签名验证方法(PHP实现)

最新推荐文章于 2024-04-20 11:38:33 发布
最新推荐文章于 2024-04-20 11:38:33 发布
阅读量360 收藏
点赞数 1
文章标签: php api 网络 java python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiaSureZ/article/details/106116257
版权

使用场景
现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。
API签名验证
这里我们引入业内比较通用的签名验证来对接口进行参数加密,有以下优势。
请求的唯一性:计算出的签名是唯一的,可以用来验证。
参数的可变性:参数中包含时间戳参数,这就保证每次的请求计算出得签名都是不一样的。
请求的时效:由于请求中带有当前发起请求的时间戳参数,服务端可以对时间戳进行验证,过滤超出时效的请求。
安全性:即使请求被人恶意抓包,对方恶意篡改其中的参数,那么签名都是错误的,参数无法修改。
实践出真理

  1. 对map类型(即一组键值对)的待签名数据根据键的大小进行排序。map中各参数按字母顺序排序,如果第一个字母相同,按第二个字母排序,依次类推。例如
    {

    “timestamp”: “2017-06-08 09:38:00”,

    “format”: “xml”,

    “app_id”: “aabbc”,

    “cp_extend_info”: “”,

    “sign_type”: “HMAC-SHA1”,

    “sign”: “abc”

}
那么,排序后变成
{

"app_id": "aabbc",

"cp_extend_info": "",

"format": "xml",

"sign_type": "HMAC-SHA1",

"timestamp": "2017-06-08 09:38:00"

}
注意:如果map中包含签名的参数(sign)需要过滤该参数的键值不参与签名,没有值的参数请不要参与签名
2. 对排序后的map进行序列化处理成待签名字符串,拼接后的待签名字符串为
app_id=aabbc&format=xml&sign_type=HMAC-SHA1&timestamp=2017-06-08 09:38:00
3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要(hash)签名并进行base64_encode编码(便于显性传输和对比),假设签名密钥为 test ,则提取出的摘要签名并进行base64_encode的值为
JqoEqPIVVor0eyRHMYiZftsycVo=
注意:由于有些数据根据HTTP协议需求,在网络传输过程中需要进行URLencoding,这样接收方才可以接收到正确的参数,但如果这个参数参与签名,那么待签名字符串必须是字符串原值而非URLencoding 的值。
代码实践
PHP示例
/**

  • 使用密钥生成HMAC-Sha1签名

  • @param array $params 请求参数

  • @param string $signKey 签名密钥

  • @return string

*/

function hmacSha1Sign( p a r a m s , params, params,signKey)
{

ksort($params);



$paramString = '';

foreach ($params as $key => $value) {

    if (is_null($value) || $value=='' || $key == 'sign') {

        continue;

    }

    $paramString .= $key.'='.$value.'&';

}

$paramString = substr($paramString,0,-1);

$sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE));

return $sign;

}

Eric-18179018118
关注
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
PHP开发API接口签名验证
qq_40012295的博客
12-21 508
/**  * 服务端验证签名  */ class ApiValidate {     // 加入签名中的秘钥     private $salt = 'G#rl;*49-T?%v,.';     /**      * 获取签名sign      * [getSign description]      * @param  [type] $data [description]      * @r...
PHP开发API接口签名验证
weixin_34044273的博客
07-04 274
<?php // 设置一个密钥(secret),只有发送方,和接收方知道 /*----发送方和接收方- start ----*/ $secret = "28c8edde3d61a0411511d3b1866f0636"; /*----发送方和接收方- end ----*/ /*----发送方待发送数据- start ----*/ // 待发送的数据包 $data...
php api验证签名
xiaoyun888_的博客
03-17 279
大概逻辑就是:客服端发来post数据,在发送的时候给数据加一个sign字段,字段内容是客户端和服务端通过appid和serect进行加密的字符串,客户端和服务端的appid和serect是一样的。 服务端收到数据后,把数据按照客户端一样的方式生成sign,再进行比较,相等则说明通过,验签主要是为了验证是否是指定用户发来的请求。避免安全隐患 <?php namespace ThreeTrafficNanchang\Controller; use ThreeTrafficNanchang\Mode.
PHP API接口签名验证
weixin_30780221的博客
08-06 170
hash_hmac 在php中hash_hmac函数就能将HMAC和一部分哈希加密算法相结合起来实现HMAC-SHA1 HMAC-SHA256 HMAC-MD5等等算法。函数介绍如下: string hash_hmac(string $algo, string $data, string $key, bool $raw_output = false) algo:要使用的哈希算法名称,...
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
WEB API 接口签名验证入门与实战课程
06-21
通过对API接口编写与请求过程的分析认识到接口请求中的安全问题,并利用签名验证解决这些问题 这些 API数据传输各种安全问题包括: ...本套课程我们采用了签名验证算法解决了上述问题以及手把手教你如何实现编码。
API接口对接生成签名验证签名
11-01
接收端收到数据后,也需要按照相同的步骤进行签名验证,以确保数据的完整性和安全性。 1. **解密参数**: - 对接收到的数据进行解密。 - 示例代码如下: ```php $decrypted_data = json_decode(openssl_decrypt...
PHP开发api接口安全验证操作实例详解
10-15
本文将深入探讨如何在PHP实现API接口的安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些...
详解PHPapi开发时如何设计签名验证
最新发布
菜鸟教程
04-20 769
签名验证是通过对请求参数进行加密处理,生成签名值,并将签名值附加到请求中,服务器端再根据相同的加密算法和密钥对请求参数进行加密,生成签名值并进行比对,从而验证请求的合法性。客户端请求数据的准备,包括请求参数的获取和排序。请求参数的加密处理,生成签名值。将签名值附加到请求中,发送到服务器端。服务器端接收请求,获取请求参数和签名值。对请求参数进行加密处理,生成签名值,并与接收到的签名值进行比对,验证请求的合法性。
php 非对称加密解密签名验签 类
07-09
几行代码就搞定 php 非对称加密解密签名验签 $stime=microtime(true); #获取程序开始执行的时间 $ps=newRsa(); $str='我是谁,我在哪'; $crypt=$ps->privateEncrypt($str); echo $ps->publicDecrypt($crypt); $sign=$ps->sign('234234'); echo "<br />sign{$sign} <br />"; $verify=$ps->verify('234234',$sign); echo "<br />verify {$verify} <br />"; #你写的php代码 $etime=microtime(true); #获取程序执行结束的时间 $total=$etime-$stime; #计算差值 echo "<br />{$total} times <br />";
php接口api数据签名及验签
php-yyds
11-17 826
api数据签名作用:通过使用签名可以验证数据在传输过程中是否被篡改或修改。接收方可以使用相同的签名算法和密钥对接收到的数据进行验证,如果验证失败则表明数据被篡改过
PHP API签名
susy_liang的博客
10-09 272
实际普通项目中API签名验证 主要是参数和有效性验证,这两个基本能满足API的开发验证了。 请求有效性验证 每次请求都带上时间戳timestamp,服务端校验其是否在有效期内。 安全性要求更高的,客户端请求参数加上随机字符串nonce。 服务端redis记录timestamp+nonce并设置有效期。 API签名验证步骤: 1.按照键名对请求参数进行升序排序:ksort; 2.请求参数键名和键值拼...
系统的讲解 - PHP 接口签名验证
monkeyapi的博客
01-08 361
工作中,我们时刻都会和接口打交道,有的是调取他人的接口,有的是为他人提供接口,在这过程中肯定都离不开签名验证。 在设计签名验证的时候,一定要满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效性,过期作废。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 下面主要分享一些工作中常用的加解密的方法常用验证 举例:/api/login?usernam...
PHP实践:用openssl打造安全可靠的API签名验证系统
黑夜开发者的博客
08-04 3568
在Web开发中,API(Application Programming Interface)是不可或缺的一部分。为了确保API请求的安全性,常常需要对API请求进行签名验证。本文将介绍如何使用PHP设计一套API签名验证的程序,并提供具体的设计步骤和代码。
php 签名验证
liuqun of program life
12-11 559
传到其他系统的参数,按照字母顺序排序,参数拼接后加token生成签名 下游系统接收参数,用相同的token和参数拼接后生成,对比是否相同,相同进行下一步操作,否则抛出异常。对称加密 /** * @param $param * @param string $strSecretKey * @return bool|string * 生成签名 *...
php 签名验证方法
༺墨༒眉༻
04-09 606
$a1=array("red","green","blue","yellow"); $a2=array("red","green","blue1"); /** * Array ( [data] => Array ( [0] => red [1] => green [2] => blue [3] => yellow ) [sign] => 2308BCF74D35E6A0A2AAE25ADD85EE51 ) */ $res = createKSortSign($.
php验签,在php验证签名
weixin_39769675的博客
03-10 278
以下脚本生成一对密钥,并在数据“ 123”上签名def newkeys(keysize):random_generator = Random.new().readkey = RSA.generate(keysize, random_generator)private, public = key, key.publickey()return public, privatedef getpublick...
PHP实现API接口签名验证
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串。 2. 将待签名字符串和应用程序的appsecret进行拼接,然后通过哈希算法(如SHA1或MD5)计算得到签名值。 3. 将签名值作为参数(通常是sign或signature)添加到原有的请求参数中,然后发送请求。 4. 服务器接收到请求后,按照同样的方式计算签名,将计算出的签名值与请求中的签名值进行比对,如果一致则认为请求合法,否则认为请求不合法。 以下是一个简单的示例代码: ```php <?php // 定义应用程序的appsecret $appsecret = "your_app_secret"; // 获取请求参数 $params = $_POST; // 按照参数名进行字典排序 ksort($params); // 将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串 $sign_str = ""; foreach ($params as $key => $value) { $sign_str .= $key . "=" . $value . "&"; } $sign_str .= "appsecret=" . $appsecret; // 计算签名值 $sign = md5($sign_str); // 验证签名 if ($sign != $params['sign']) { // 签名验证失败 echo "Invalid Signature"; } else { // 签名验证成功 // 执行业务逻辑 } ?> ``` 在实际应用中,为了增加安全性,可以使用更加复杂的签名算法,如RSA数字签名等。另外,还可以限制请求的时间戳和nonce值,防止重放攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值