后端以api的方式将数据源呈现出来是目前的趋势,可以用在前后端分离的架构中,前后端分离之后,前后端人员能够更加专注于自己板块的东西;也可以用在后端与后端相互调用中。
拿到接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。
验证原理
原理
从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。
1 时间戳:当前时间
2 随机数:随机生成的随机数
3 口令:前后台开发时,一个双方都知道的标识,相当于暗号
4 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。
前台生成一个签名,当需要访问接口的时候,把时间戳,随机数,签名通过URL传递到后台。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比,一样的话,返回数据。
算法规则
在前后台交互中,算法规则是非常重要的,前后台都要通过算法规则计算出签名,至于规则怎么制定,看你怎么高兴怎么来。
我这个算法规则是:
时间戳,随机数,口令按照首字母大小写顺序排序
然后拼接成字符串
进行sha1加密
再进行MD5加密
转换成大写
前台
这里我并没有实际的前台,直接使用一个PHP文件代替前台,然后通过CURL模拟GET请求。我使用的是TP框架,URL格式是pathinfo格式。
代码如下
/**
*CreatedbyPhpStorm.
*User:Administrator
*Date:2020/3/16
*Time:15:56
*/
namespaceClient\Controller;
useThink\Controller;
classClientControllerextendsController{
constTOKEN='API';
//模拟前台请求服务器api接口
publicfunctiongetDataFromServer(){
//时间戳
$timeStamp=time();
//随机数
$randomStr=$this->createNonceStr();
//生成签名
$signature=$this->arithmetic($timeStamp,$randomStr);
//url地址
$url="http://www.apitest.com/Server/Server/respond/t/{$timeStamp}/r/{$randomStr}/s/{$signature}";
$result=$this->httpGet($url);
dump($result);
}
//curl模拟get请求。
privatefunctionhttpGet($url){
$curl=curl_init();
//需要请求的是哪个地址
curl_setopt($curl,CURLOPT_URL,$url);
//表示把请求的数据已文件流的方式输出到变量中
curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
$result=curl_exec($curl);
curl_close($curl);
return$result;
}
//随机生成字符串
privatefunctioncreateNonceStr($length=8){
$chars="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
$str="";
for($i=0;$i<$length;$i++){
$str.=substr($chars,mt_rand(0,strlen($chars)-1),1);
}
return"z".$str;
}
/**
*@param$timeStamp时间戳
*@param$randomStr随机字符串
*@returnstring返回签名
*/
privatefunctionarithmetic($timeStamp,$randomStr){
$arr['timeStamp']=$timeStamp;
$arr['randomStr']=$randomStr;
$arr['token']=self::TOKEN;
//按照首字母大小写顺序排序
sort($arr,SORT_STRING);
//拼接成字符串
$str=implode($arr);
//进行加密
$signature=sha1($str);
$signature=md5($signature);
//转换成大写
$signature=strtoupper($signature);
return$signature;
}
}
服务器端
这里主要是接受前台数据,进行验证,代码如下:
结果如下:
"{"name":"api","age":15,"address":"zz","ip":"192.168.0.1"}"
总结:
这种方法只是其中的一种方法,其实还有很多方法都是可以进行安全验证的。主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用。
(1)Token授权机制:(Token是客户端访问服务端的凭证)–用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。
(2)时间戳超时机制:(签名机制保证了数据不会被篡改)用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如5分钟),则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。
(3)签名机制:将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。