引用地址:PHP实现API时如何处理数据加密和解密-php教程-PHP中文网
随着互联网的不断发展,API(应用程序接口)的应用范围越来越广泛,各种系统之间的数据交互也越来越频繁。而对于敏感数据的传输,数据加密和解密是必不可少的步骤。本文将介绍基于PHP实现API时如何处理数据加密和解密。
一、为什么要进行数据加密
数据加密是指把原有的明文按照一定的算法转化为密文,使得未得到相应密钥的人无法解读,从而实现数据的保密性。在API开发中,需要进行数据加密的主要原因为以下两点:
1.数据安全性
API开放给第三方使用时,由于接口数据的传输并不能保证一定是在私密通信环境下进行,因此可以通过加密来保证数据的安全性和真实性,避免数据在传输过程中被窃取或篡改。
2.合法性验证
数据加密可以通过身份验证、签名等方式来保证数据传输的合法性。在API请求发送过程中,通过对请求参数进行不可逆算法加密,可以保证请求的合法性,防止非法篡改或伪造请求数据。
二、PHP实现数据加密
1.对称加密算法
对称加密算法是指,加密和解密时使用的密钥是相同的,只需要将密钥作为参数传递即可完成加密和解密操作。在API开发中常用的对称加密算法包括DES、3DES、AES等。
以AES加密算法为例,PHP提供了openssl_encrypt()和openssl_decrypt()等函数来实现对称加密操作。使用方法如下:
已复制
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
|
其中,$data为待加密的数据,$key为密钥。在加密过程中,通过调用openssl_cipher_iv_length()获取加密算法所需IV向量长度,调用openssl_random_pseudo_bytes()生成一个随机的IV向量,然后调用openssl_encrypt()函数进行加密操作。在解密过程中,先通过base64_decode()函数将密文还原为二进制数据,再分别提取IV向量和加密数据,调用openssl_decrypt()函数进行解密操作。
2.非对称加密算法
非对称加密算法是指,加密和解密时使用的密钥不同,一般将公钥公开,用于加密数据,再由服务器端的私钥进行解密。在API开发中,常见的非对称加密算法有RSA、DSA等。
以RSA加密算法为例,PHP提供了openssl_public_encrypt和openssl_private_decrypt等函数来实现非对称加密操作。使用方法如下:
已复制
1 2 3 4 5 6 7 8 9 10 11 12 13 |
|
其中,$data为待加密的数据,$public_key为公钥。在加密过程中,通过调用openssl_public_encrypt()函数对数据进行加密,然后通过base64_encode()函数将加密后的数据进行编码。在解密过程中,通过调用openssl_private_decrypt()函数对加密数据进行解密,然后返回解密后的数据。
三、PHP实现数据签名
API中的数据签名是通过对参数进行哈希加密的方式进行合法性认证的。对于API请求参数,服务器需要对其进行数据签名,以保证数据传输的完整性和真实性。
常用的哈希算法包括HMAC、SHA1、MD5等。以HMAC为例,使用PHP内置的hash_hmac()函数可以方便地实现数据签名。使用方法如下:
已复制
1 2 3 4 5 |
|
其中,$data为待签名的数据,$secret为签名密钥。调用hash_hmac()函数对数据进行哈希加密,返回签名后的数据。
四、数据加密与解密示例
接下来,我们将对上述数据加密和签名方法进行综合应用,演示如何使用PHP完成API请求参数的加密与解密过程。
1.AES对称加密方式
$encrypt_key = "gzy";//设定加解密-密钥
$secret_key = "qianming";//设定签名秘钥
$hmac_key = "sign";//设定哈希秘钥
//数据加密
$data = [
'user_id' => 12345,
'user_name' => 'test',
'timestamp' => time(),
];
$json_data = json_encode($data);
$encrypted_data = aesEncrypt($json_data, $encrypt_key);
//数据签名
$signature_data = $encrypted_data . $secret_key;
$signature = hmacSign($signature_data, $hmac_key);
//API请求构造
$params = [
'data' => $encrypted_data,
'signature'=> $signature,
];
//$request_url = 'http://api.example.com' . '?'. http_build_query($params);
//API响应解析
//$response_data = file_get_contents($request_url);
//$response_data = json_decode($response_data, true);
$response_data = $params;
//数据解密
$encrypted_data = $response_data['data'];
$signature_data = $encrypted_data . $secret_key;
$signature = $response_data['signature'];
if(hmacSign($signature_data, $hmac_key) === $signature) {
$json_data = aesDecrypt($encrypted_data, $encrypt_key);
$response = json_decode($json_data, true);
echo "<pre>";
var_dump($response);
//TODO:处理API响应数据
}
else {
//TODO:处理签名不合法的情况
echo "fail";
}
//AES加密
function aesEncrypt($data, $key) {
$iv_len = openssl_cipher_iv_length('AES-128-CBC');
$iv = openssl_random_pseudo_bytes($iv_len);
$encrypted = openssl_encrypt($data, 'AES-128-CBC', $key, OPENSSL_RAW_DATA, $iv);
$result = base64_encode($iv . $encrypted);
return $result;
}
//AES解密
function aesDecrypt($data, $key) {
$data = base64_decode($data);
$iv_len = openssl_cipher_iv_length('AES-128-CBC');
$iv = substr($data, 0, $iv_len);
$encrypted = substr($data, $iv_len);
$decrypted = openssl_decrypt($encrypted, 'AES-128-CBC', $key, OPENSSL_RAW_DATA, $iv);
return $decrypted;
}
//HMAC签名
function hmacSign($data, $secret) {
$signed_data = hash_hmac('sha256', $data, $secret, false);
return $signed_data;
}
在上述代码中,首先使用aesEncrypt()函数对请求参数进行对称加密,然后使用hmacSign()函数对加密后的数据进行哈希签名,生成签名后的请求参数。服务器接收请求后,通过对签名数据进行哈希加密,验证签名是否合法,然后使用aesDecrypt()函数对加密数据进行解密,得到原始请求参数。
2.RAS非对称加密方式
<?php
$secret_key = 'qm';//签名key
$hmac_key = 'gzy';//设定HMAC签名秘钥
//第一步php生成rsa公钥私钥
$config = array(
'config' =>'D:\phpstudy_pro\Extensions\php\php7.4.3nts\extras\ssl\openssl.cnf',//安装PHP7会自带这个配置文件
'digest_alg' => 'sha256', //可以用openssl_get_md_methods() 查看支持的加密方法
'private_key_bits'=> 2048,
'private_key_type' => OPENSSL_KEYTYPE_RSA,
);
$res = openssl_pkey_new($config);
openssl_pkey_export($res, $private_key_pem,null,$config);
$details = openssl_pkey_get_details($res);
$public_key_pem = $details['key'];
echo '<pre>';
//var_dump(array('privKey' => $private_key_pem, 'pubKey' => $public_key_pem));
//第二步rsa加解密
$data = [
'user_id' => 12345,
'user_name' => 'test',
'timestamp' => time(),
];
$data = json_encode($data);
//ras加密
$rasData = rsaEncrypt($data,$public_key_pem);
//数据签名
$signature_data = $rasData . $secret_key;
$signature = hmacSign($signature_data, $hmac_key);
//API请求构造
$params = [
'data' => $rasData,
'signature'=> $signature,
];
//API响应解析
$response_data = $params;
//ras解密
$rasData = $response_data['data'];//获取加密数据
$signature = $response_data['signature'];//获取签名
$signature_data = $rasData . $secret_key;//签名数据
$newSignature = hmacSign($signature_data, $hmac_key);//生成签名 用来验证签名
if ($newSignature=== $signature) {//验证签名
$data = rsaDecrypt($rasData,$private_key_pem);
$data = json_decode($data, true);
var_dump($data);
} else {
echo "验证签名失败";
}
//RSA加密
function rsaEncrypt($data,$public_key) {
$encrypted = '';
openssl_public_encrypt($data,$encrypted,$public_key,OPENSSL_PKCS1_PADDING);
$encrypted = base64_encode($encrypted);
return $encrypted;
}
//RSA解密
function rsaDecrypt($data,$private_key) {
$decrypted = '';
openssl_private_decrypt(base64_decode($data),$decrypted,$private_key,OPENSSL_PKCS1_PADDING);
return $decrypted;
}
//HMAC签名
function hmacSign($data, $secret) {
$signed_data = hash_hmac('sha256', $data, $secret, false);
return $signed_data;
}
?>
在实际应用过程中,需要保证加密密钥、签名密钥等信息不能泄露,以保证API数据的安全性。同时,需要根据系统使用需求,选择适当的加密和签名算法,以满足系统的性能和安全要求。