学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持

最新推荐文章于 2024-06-30 11:07:51 发布
最新推荐文章于 2024-06-30 11:07:51 发布
阅读量780 收藏 3
点赞数
分类专栏: Api Php Thinkphp框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo_qiangqiang/article/details/112140860
版权
Php 同时被 3 个专栏收录
454 篇文章 14 订阅
订阅专栏
Thinkphp框架
53 篇文章 1 订阅
订阅专栏
Api
22 篇文章 1 订阅
订阅专栏

学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持

背景

为了保证客户端的每一次请求sign的唯一性,且只能使用一次,所以我们就需要在代码中去判断每次提交的sign是否唯一

结合redis缓存

引用redis缓存

use think\cache\driver\Redis;

在这里插入图片描述
api模块的控制器公共类 Common.php

<?php

namespace app\api\controller;

use app\common\lib\ApiAuth;
use app\common\lib\Time;
use think\Controller;

use app\common\lib\exception\ApiException;

use app\common\lib\Aes;

use think\cache\driver\Redis;

/*
 * api接口模块的公共控制器
 */

class Common extends Controller
{

    public function _initialize()
    {
        $this->checkRequestAuth();
        
    }

    //验证方法
    /*
     * 检查app每一次提交的数据是否合法
     */
    public function checkRequestAuth()
    {

        //验证header头的信息
        $header = request()->header();
        //halt($header);


        //sign 客户端工程师加密,服务端工程师解密

        //基础数据校验
        //如果sign不存在,报错
        if (empty($header['sign'])) {
            throw new ApiException('签名不存在!');
        }

        if (empty($header['apptype'])) {
            throw new ApiException('客户端不存在!');
        }

        //验证请求的app客户端是否合法
        if (!in_array($header['apptype'], config('app.apptypes'))) {
            throw new ApiException('客户端不合法!', 400);
        }

        //校验sign
        $header_result = ApiAuth::checkSign($header);

        if (!$header_result) {
            throw new ApiException('签名不合法!', 401);
        }

        //为了保证sign的唯一性,我们使用redis缓存,保证用过的sign,不可以再次使用
        $redis = new Redis;
        $redis->set($header['sign'], $header['sign'],config('app.api_sign_redis_time'));
        
    }

}

Api签名校验类ApiAuth

在这里插入图片描述
ApiAuth.php

<?php

namespace app\common\lib;

use app\common\lib\Aes;
use think\cache\driver\Redis;

class ApiAuth
{

    /*
     * 生成签名
     */
    public static function setSign($data = [])
    {
        //1 把数组按照字段你排序
        ksort($data);
        //2 将数组更改为拼接字符串的格式
        $sign_str = http_build_query($data);
        //3 通过aes加密
        return (new Aes())->encrypt($sign_str);
    }

    //校验签名sign
    public static function checkSign($data)
    {
        //解密
        $str = (new Aes())->decrypt($data['sign']);
        if (!$str) {
            return false;
        }
        //将字符串你转成数组格式
        parse_str($str, $arr);
        //比较常用变量的值是否一致
        if (!is_array($arr) || $arr['name'] != 'qipa250') {
            return false;
        }

        //校验sign有效期 由于解析后的日期是13位的,除以1000后得到10位数
        //两个时间再相减, 超过设置的有效
        if ((time() - ceil($arr['time'] / 1000)) > config('app.api_sign_expire_time')) {
            return false;
        }

        //验证sign的唯一性,若是存在,则表示已请求过,重复请求
        $redis = new Redis;
        if ($redis->get($data['sign'])) {
            return false;
        }

        return true;

    }


}

app配置

app.php 设置 api_sign_redis_time

增加签名redis缓存有效期

<?php
return [
    'admin_password_pre' => '_qipa250',//后台管理员密码加密后缀
    'aeskey' => 'QiPa250',//aes 密钥,服务端和客户端保持一致
    'aesiv' => '12345678901234567890123456789012',//aes iv,服务端和客户端保持一致
    'apptypes' => ['ios', 'android', 'wechat'],
    'api_sign_expire_time' => 10,//sign签名有效期为10s,
    'api_sign_redis_time' => 20,//sign签名redis有效期为20s,必须大于api_sign_expire_time,才生效,小于的话,会重复请求,不保证sign请求的唯一性
];

postman请求

第一次成功
在redis中查看,key值已经存在

在这里插入图片描述再次请求,则报异常,因为已经用过了,同一个sign不可以重复请求,
在这里插入图片描述

徊忆羽菲
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
phpaes加密菜鸟教程,ThinkPhp来实现AES加密和解密以及Sign的生成和
weixin_42524842的博客
03-11 1414
Sign(签名) 是接口证安全性的一种常用的技术,在一定程度上,可以保证我们数据接口得安全性, Sign一般都需要配合加密算法来使用,常用的AES系列算法(对称算法)、SHA系列算法(安全散列算法)、RSA系列算法(非对称算法)等,我这边现在使用的AES对称加密算法。AES加密和解密示例代码namespace app\common\lib;class Aes{public$key='';p...
thinkPHP5-安全机制
Wake_me_Up123的博客
07-31 5067
输入安全 设置public目录为唯一对外访问目录,不能把资源文件放入到应用目录; 使用框架提供的请求变量获取方法(Request类的param方法及input助手函数)而不是原生系统变量获取用户输入的数据; 使用证类或者证方法对业务数据设置必要的证规则; 设置安全过滤函数对用户输入的数据进行过滤处理。 htmlspecialchars()此函数是将用户输入的所有信息原样输出。 避免用户输入的
thinkphpapi接口数据安全解决方案sign
荒的博客
04-16 714
sign签名一般用在服务器之间传输。一般api数据安全使用token证就行。
ThinkPHP6接口安全性
最新发布
Ghjklzxccvb的博客
06-30 339
在编写接口代码时,要遵循最佳的安全编程实践,比如对用户输入进行严格的证和过滤,防止SQL注入、跨站脚本攻击(XSS)等常见安全问题。ThinkPHP6,作为当下热门的PHP开发框架,凭借其易用性和强大的功能,得到了广大开发者的青睐。问题在于无法否认随着应用的广泛部署,接口安全性问题也逐渐浮出水面,成为了我们不得不面对的挑战。值得一提的在存储数据时,也要采用合适的加密方式和存储策略,防止数据泄露和非法访问。只有我们始终把安全放在第一位,从多个方面入手加强安全措施,才能有效地保障接口的安全稳定运行。
thinkphp5jwt请求颁发token详解接口安全
weixin_44452446的博客
05-13 783
JWT应用场景 点击登入颁发token,下次请求带着token请求,对接口安全有保障,不会任何人都可以请求接口 JWT的优点 JWT的优点:用户会话信息保存在客户端,服务端再也不用操心用户的会话信息,即服务端无状态 JWT的缺点:只能被动等到token过期,不能主动失效token 导入文件到vendor目录下面,可以看我上传的jwt文件 下面是代码 //生成签 function signToken($ip){ $key="dt".$ip; //这里是自定义的一个随机字串,应该写在con
php app接口安全证,thinkphp在app接口开发过程的通讯安全认证
weixin_26875543的博客
03-27 222
写好的接口,如果不经过安全认证就可以直接访问的话,则将对我们网站产生非常大的安全隐患,一些hack可能直接用你的接口去操作数据库,后果无法估量。那么如何才能进行有效的安全证呢? 这里我采用了微信开发的access_token机制,让app前端开发工程师通过提交appid和appsecert来获取token,服务器端对token缓存7200秒,客户端如果每次都直接请求token则token每次都...
学习thinkphpapi接口数据安全解决方案sign有效时间处理
徊忆羽菲
01-03 724
学习thinkphpapi接口数据安全解决方案sign有效时间处理生成13位时间戳生成sign签名设置sign签名有效期校sign时间有效期引用签名证类 生成13位时间戳 在Y:\thinkphpwu\application\common\lib 目录创建 Time.php 类 <?php namespace app\common\lib; class Time { //获取到13位数的时间戳 13位时间戳是把时间精确到毫秒级,所以两者是1000倍的关系 public
API接口证基类(thinkphp)
05-27
综上所述,利用ThinkPHP框架创建API接口证基类是提高代码质量和安全性的重要实践。通过合理的设计和实现,可以极大地提升API接口的稳定性和用户体。在实际项目,应根据具体需求对证基类进行适当的调整和扩展...
Thinkphpapi开发异常返回依然是html的解决方式
10-16
在开发基于ThinkPHP框架的API时,经常会出现异常返回信息仍旧以HTML格式展示的问题...通过这种方式,我们可以让API在遇到错误时,以更为友好的JSON格式提供错误信息给前端调用者,提升API的可用性和开发者的使用体
tp5-api:前阶段完全分离-服务端基于thinkphp5 + mysql接口解决方案
02-03
前初步完全分离-服务端基于thinkphp5 + mysql接口解决方案地址账号管理员密码123456连接测试地址: : 代码结构:部署步骤:第一步(已安装,可略过):安装git ,下载地址:https://git-scm.com/download/win,...
thinkphp在线签名jSignature
06-05
按照tp配置好本地之后直接访问就可以了,刚好要做到签名的功能,小白一个,在网上搜索了半天看到这个插件,试了试挺好用的,生成的是base64,转换成图片保存就可以了。
thinkphp3.2.2写的AUTH认证通用后台demo+API接口开发
10-18
接触auth认证这么久了,一开始就在网上搜auth的代码,看到很多大家分析的auth权限使用方法,但是就是没见过谁做过一个完整的auth认证的后台程序(或者高手做出来的更好的没有分享出来),正好公司项目需要,就研究做了一个完整的auth认证的后台处理,自己使用了一段时间确认没有问题了,才分享给大家。
thinkphp5-restfulapi:restful-api风格接口 APP接口 APP接口权限 oauth2.0 接口版本管理 接口鉴权
05-06
ThinkPHP restfulapi 基于ThinkPHP5.1* 基础上开发的一个简单的restful api ,带权限证等 ThinkPHP5.1的运行环境要求PHPPHP7.2+以上。 详细开发文档参考 使用目前tp5.1相关新增功能,包含容器依赖注入、Facade、证器等,与上一个版本相比,简化代码量,整个代码量只有不到200行,增加鉴权白名单,refresh_token、全局异常处理等 欢迎PR 老版本tp5.0*相关代码请到release下载对应代码 目录结构 初始的目录结构如下: www WEB部署目录(或者子目录)== ├─application 应用目录 │ ├─common 公共模块目录(可以更改) │ ├─api 接口目录 │ │ ├─controller 控制器目录
ThinkPHP内核API接口管理平台源码 v1.2.zip
03-27
总结来说,这个基于ThinkPHP内核的API接口管理平台源码v1.2是一个实用的工具,它为开发者提供了全方位的API管理解决方案。无论是在毕业设计、论文编写还是实际的项目开发,都能发挥重要的作用。通过深入研究和实践...
php接口开发 安全_PHP开发api接口安全
weixin_42144201的博客
03-09 316
在实际工作,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全证。证原理示意图这里写图片描述原理从图可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。时间戳:当前时间随机数:随机生成的随机...
uniapp+thinkphp6开发答题系统 API接口开发签名证安全
zhkyzj的博客
09-29 1998
uniapp+thinkphp API接口开发签名证安全,前后端利用约定的密钥+时间戳+随机串 生成签名证访问接口的合法性
PHP框架安全思路(以ThinkPHP为例)总结
weixin_44616206的博客
01-27 1936
PHP框架安全(以ThinkPHP为例)总结 例:TP(ThinkPHP)框架、YII、laravel TP框架(5.x版本市面上较多,hc使用较多) http://serverName/index.php(或者其它应用入口文件)/模块/控制器/操作/[参数名/ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pryQr8J1-1643215853300)(C:\Users\ASUS\AppData\Local\Temp\1643130675563.png)] 应用目录下模块名
php api权限控制,Think Authz:支持 ACL、RBAC、ABAC 等模型的授权(角色和权限控制)库...
weixin_32419787的博客
03-10 669
Think Authorization 基于 PHP-Casbin, 一个强大的、高效的开源访问控制框架,支持基于ACL, RBAC, ABAC等访问控制模型。在这之前,你需要了解 Casbin 的相关知识。安装该扩展需要 PHP 7.1+ 和 ThinkPHP 6.0+,针对 TP 5.1 请使用 Think-Casbin .使用composer安装:composer require casb...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值