thinkphp中api接口数据安全解决方案之sign检验

最新推荐文章于 2023-09-06 22:14:15 发布
最新推荐文章于 2023-09-06 22:14:15 发布
阅读量1.2k 收藏 6
点赞数
分类专栏: Api Php Thinkphp框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo_qiangqiang/article/details/112135796
版权
Php 同时被 3 个专栏收录
453 篇文章 13 订阅
订阅专栏
Thinkphp框架
53 篇文章 1 订阅
订阅专栏
Api
22 篇文章 1 订阅
订阅专栏

thinkphp中api接口数据安全解决方案之sign检验

Aes加密解密类

点我查看

封装校验类ApiAuth.php

<?php

namespace app\common\lib;

use app\common\lib\Aes;


class ApiAuth
{

    /*
     * 生成签名
     */
    public static function setSign($data = [])
    {
        //1 把数组按照字段你排序
        ksort($data);
        //2 将数组更改为拼接字符串的格式
        $sign_str = http_build_query($data);
        //3 通过aes加密
        return (new Aes())->encrypt($sign_str);
    }

    //校验签名sign
    public static function checkSign($data)
    {
        //解密
        $str = (new Aes())->decrypt($data['sign']);
        if (!$str) {
            return false;
        }
        //将字符串你转成数组格式
        parse_str($str, $arr);
        //比较
        if (!is_array($arr) || $arr['name'] != 'qipa250') {
            return false;
        }
        return true;
    }
}

Common类中调用校验方法

在这里插入图片描述
在api模块的控制器中,建立公共的common类,别的类继承此类

<?php

namespace app\api\controller;

use app\common\lib\ApiAuth;
use think\Controller;

use app\common\lib\exception\ApiException;

use app\common\lib\Aes;

/*
 * api接口模块的公共控制器
 */

class Common extends Controller
{

    public function _initialize()
    {
          $this->checkRequestAuth();    
    }

    //验证方法
    /*
     * 检查app每一次提交的数据是否合法
     */
    public function checkRequestAuth()
    {

        //验证header头的信息
        $header = request()->header();
        //halt($header);


        //sign 客户端工程师加密,服务端工程师解密

        //基础数据校验
        //如果sign不存在,报错
        if (empty($header['sign'])) {
            throw new ApiException('签名不存在!');
        }

        if (empty($header['apptype'])) {
            throw new ApiException('客户端不存在!');
        }

        //验证请求的app客户端是否合法
        if (!in_array($header['apptype'], config('app.apptypes'))) {
            throw new ApiException('客户端不合法!', 400);
        }

        //校验sign
        $header_result = ApiAuth::checkSign($header);
        dump($header_result);
        die();
    }
}

抛出异常类ApiException

在这里插入图片描述

<?php

namespace app\common\lib\exception;

//引用异常类
use think\Exception;


//继承异常类
class ApiException extends Exception
{
    //自定义http状态码
    public $message = '';
    public $httpCode = 400;
    public $code = 0;

    /*
     * 渲染抛出异常的状态码和信息
     */
    public function __construct($message = "", $httpCode = 0, $code = 0)
    {
        $this->message = $message;
        $this->httpCode = $httpCode?:400;
        $this->code = $code;
    }
}

app.php配置文件

在这里插入图片描述

<?php

return [
    'admin_password_pre' => '_qipa250',//后台管理员密码加密后缀
    'aeskey' => 'QiPa250',//aes 密钥,服务端和客户端保持一致
    'aesiv' => '12345678901234567890123456789012',//aes iv,服务端和客户端保持一致
    'apptypes' => ['ios', 'android', 'wechat'],
];

postman请求,返回true 表示签名验证成功

在这里插入图片描述返回false,表示签名验证失败
在这里插入图片描述

徊忆羽菲
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
API接口验证基类(thinkphp)
05-27
thinkphp项目封装好的一个api接口验证基类,没必要的不要下载,自己用的
thinkphp5 token验证
weixin_30254435的博客
06-14 657
$data_check['__token__'] = trim($data['__token__']);$validate = new Validate([ '__token__' => 'require|token']);if (!$validate->check($data_check)) { dump($validate->getError());}else{ ...
开放API接口签名验证,让你的接口从此不再裸奔
Java笔记虾
09-03 1320
作者:Joker_Codingblog.csdn.net/qq_18495465/article/details/79248608接口安全问题请求身份是否合法?请求参数是否被篡改?请求是...
Thikphp5.1 JSON Web Token 跨域身份验证解决方案
u011867622的专栏
07-24 444
关于 JSON Web Token 详细介绍请查阅资料 客户端接收服务器返回的JWT,将其存储在Cookie或localStorage。 此后,客户端将在与服务器交互都会带JWT。如果将它存储在Cookie,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段。 Authorization: Bearer 当跨域时,也可以将JWT被...
php实现短信验证(阿里云通信)和邮箱验证(phpmailer)
qq_24188311的博客
07-18 1350
短信验证阿里云帮助文档: https://help.aliyun.com/document_detail/55451.html?spm=5176.doc53652.6.555.n5nlev 教程: http://www.thinkphp.cn/code/3347.html 首先在阿里云上获取到三个数据: (1)阿里云访问密钥(AccessKeyId 与 AccessKeySecret) (
应用的认证和授权(基本认证、session-cookie认证、token认证及OAuth2.0授权)
you are sherlocked by me!
04-13 1669
前后端常见鉴权方式: 基于cookie认证: HTTP Basic Authentication基本认证 session认证 token(令牌)认证 JWT(JSON Web Token)
php用户鉴权,ThinkPHP5下实现Auth鉴权访问。
weixin_28687685的博客
03-10 2845
其实这算是一篇水文,最近有点忙有点累,记得没两天更文的今天一看已经过去一周了,刚好新项目上需要使用Auth来控制权限操作,恰巧ThinkPHP最近官方把5.1更新的有点频繁,从5.1.6一口气接二连三的更新到了5.1.11,导致项目没有框架更新的快,汗,丢人。写这篇水文的缘由是升级框架后,莫名发现之前运行正常的Auth报了个奇怪的错误。在复制粘贴之前做好的Auth类的时候发现了一个错误,如下图所示...
uniapp+thinkphp6开发答题系统 API接口开发签名验证安全
zhkyzj的博客
09-29 1743
uniapp+thinkphp API接口开发签名验证安全,前后端利用约定的密钥+时间戳+随机串 生成签名验证访问接口的合法性
ThinkPHP5开发API数据安全相关解决方案
坚持硬核
07-07 1309
0x00 四种API数据安全问题 接口请求地址 和 参数暴露 重要接口返回数据明文暴露 APP登录态请求的数据安全性问题 代码层的数据安全问题 其前三种问题,都可以使用加密来解决。 0x01 加密方式 MD5 AES 对称加密算法,加密速度快,资源使用率高 RSA 非对称加密算法,加密效率低,数据量大的时候加密时间比较长 0x02 如何进行加密? 将基础参数(app版本号,手机型号,sign等)放入http协议的header头 每次http请求都携带sign 保证sign的唯一性
开放接口签名(Signature)实现
Wang________的博客
06-03 2041
*** 签名算法实现=>指定哪些接口或者哪些实体需要进行签名*///允许重复请求/*** 开放接口签名工具类* @desc 接口校验工具类* 生成有序map,签名,验签* 通过appId、timestamp、appSecret做签名* @menu*/@Slf4j/*** 生成签名sign
php接口开发 安全_PHP开发api接口安全验证
weixin_42144201的博客
03-09 301
在实际工作使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。验证原理示意图这里写图片描述原理从图可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。时间戳:当前时间随机数:随机生成的随机...
Thinkphpapi开发异常返回依然是html的解决方式
10-16
今天小编就为大家整理了一篇Thinkphpapi开发异常返回依然是html的解决方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
ThinkPHP和UCenter接口冲突的解决方法
10-21
主要介绍了ThinkPHP和UCenter接口冲突的解决方法,分析了thinkPHP与UCenter接口冲突的原因及通过重命名解决冲突的相关操作步骤与实现技巧,需要的朋友可以参考下
Thinkphp3.2.3通用后台+API接口设计
08-16
1.此项目是基于Thinkphp3.2.3+easyui做的权限管理系统,所有后台管理系统均可基于此项目开发。 2.项目集成php反射自动生成API文档,通过访问http://你的IP或者域名/文件地址/tpcs/index.php/Api/Doc/index.html即可...
PHP 如何保证接口的安全性
最新发布
荒的博客
09-06 360
一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输;
TP5高安全接口签名设计之实现
俗人世界
09-05 1255
TP5高安全接口签名设计之实现
thinkphp6 token登录鉴权
code_nutter的博客
12-24 1748
除了登录相关接口,其他接口都需要登录后、并且token认证成功以后才能访问。 在间件进行检测。 // 创建登录验证间件 php think make:middleware admin@Login // 创建商品控制器 php think make:controller admin@Goods 配置路由、并且使用间件进行验证 //间件Token Route::get('goodslist','Goods/index')->middleware(\app\admin\m.
php数据接口api安全,API接口数据安全之授权码sign
weixin_35682132的博客
03-10 336
**API接口数据安全之授权码sign**>[success] 1. ASE加密方式加密~~~class Aes{private $key = null;/***@param String $key 密钥*@return String*/public funciton __construct(){//配置文件的asekey 服务端及客户端必须保持一致 且加密key必须为16 、...
学习thinkphpapi接口数据安全解决方案之授权sign唯一性支持
徊忆羽菲
01-03 729
学习thinkphpapi接口数据安全解决方案之授权sign唯一性支持背景结合redis缓存Api签名校验类ApiAuthapp配置postman请求 背景 为了保证客户端的每一次请求sign的唯一性,且只能使用一次,所以我们就需要在代码去判断每次提交的sign是否唯一 结合redis缓存 引用redis缓存 use think\cache\driver\Redis; api模块的控制器公共类 Common.php <?php namespace app\api\controller;
thinkphp restful api例子下载
05-13
ThinkPHP是一个流行的PHP框架,可以轻松地创建RESTful API。RESTful是一种架构风格,用于设计Web服务,它遵循基于HTTP的标准,包括GET,POST,PUT,DELETE等方法。使用RESTful API,开发人员可以通过URL访问和交互数据。 要下载ThinkPHP的RESTful API示例,可以访问官方网站,该网站提供了许多教程和示例,你可以在其找到RESTful API示例。在官网上可以找到教程和示例代码的下载链接,你可以下载示例代码,然后按照教程进行学习和实践。 除了官方网站,你还可以在GitHub上找到RESTful API示例代码,很多GitHub上的示例代码都是由开发者分享的,可以方便地找到示例并进行学习和实践。GitHub的搜素功能可以帮你找到想要的示例代码,你可以将其下载到本地进行学习和实践。 综上所述,寻找并下载ThinkPHP的RESTful API示例代码,可以通过访问官方网站和在GitHub上寻找示例代码来完成。无论哪种方式,都需要认真学习并实践,只有这样才能熟练掌握RESTful API开发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值