相对安全的 restful api - 数据传输篇

最新推荐文章于 2024-05-23 09:52:40 发布
最新推荐文章于 2024-05-23 09:52:40 发布
阅读量3.9k 收藏 1
点赞数 1
分类专栏: PHP 文章标签: sign-数据签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeshencat/article/details/72393903
版权

随着公司业务渐渐壮大,为了降低系统之间的耦合度,提高系统与系统之间的协作效率。可能部分业务将 采用 api 方式进去数据操作,但是基于 HTTP 协议方式传递数据会涉及到下列三个基础问题:

  1. 数据提交者是否合法?

  2. 数据传递期间是否被篡改?

  3. 数据是否被多次提交?

如何解决以上三个问题呢? so easy !
一些常见的 SDK 里面已经涉及到这些问题,细心的童靴已经发现了解决方案。

解决数据提交是否合法、数据是否被篡改

  • 客户端和服务端约定签名算法,客户端生成签名作为数据传递的一个字段,服务端拿到签名进行合法性验证。常见的签名步骤如下:

  • 服务端提供方给出app_id和app_secret

  • 客户端端根据app_id和app_secret以及请求参数,按照一定算法生成签名sign
  • 服务端进行验证签名

具体以支付宝签名为例子(PHP版本,客户端)

<?php
class sign{
    /**
     * 生成要请求给支付宝的参数数组
     * @param $para_temp 请求前的参数数组
     * @return 要请求的参数数组
     */
    function buildRequestPara($para_temp, $app_secret = '', $sign_type = 'MD5') {
        //除去待签名参数数组中的空值和签名参数
        $para_filter = $this->paraFilter($para_temp);

        //对待签名参数数组排序
        $para_sort = $this->argSort($para_filter);

        //生成签名结果
        $mysign = $this->buildRequestMysign($para_sort, $app_secret);

        //签名结果与签名方式加入请求提交参数组中
        $para_sort['sign'] = $mysign;
        $para_sort['sign_type'] = strtoupper(trim($sign_type));

        return $para_sort;
    }

    /**
     * 获取返回时的签名验证结果
     * @param $para_temp 通知返回来的参数数组
     * @param $sign 返回的签名结果
     * @return 签名验证结果
     */
    function getSignVeryfy($para_temp, $sign, $app_secret = '', $sign_type = 'MD5') {
        //除去待签名参数数组中的空值和签名参数
        $para_filter = $this->paraFilter($para_temp);

        //对待签名参数数组排序
        $para_sort = $this->argSort($para_filter);

        //把数组所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串
        $prestr = $this->createLinkstring($para_sort);

        $isSgin = false;
        switch (strtoupper(trim($sign_type))) {
            case "MD5" :
                $isSgin = $this->md5Verify($prestr, $sign, $app_secret);
                break;
            default :
                $isSgin = false;
        }

        return $isSgin;
    }        
    /**
     * 生成签名结果
     * @param $para_sort 已排序要签名的数组
     * return 签名结果字符串
     */
    function buildRequestMysign($para_sort, $app_secret, $sign_type = 'MD5') {
        //把数组所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串
        $prestr = $this->createLinkstring($para_sort);

        $mysign = "";
        switch (strtoupper(trim($sign_type))) {
            case "MD5" :
                $mysign = $this->md5Sign($prestr, $app_secret);
                break;
            default :
                $mysign = "";
        }

        return $mysign;
    }

    /**
     * 把数组所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串
     * @param $para 需要拼接的数组
     * return 拼接完成以后的字符串
     */
    function createLinkstring($para) {
        $arg  = "";
        while (list ($key, $val) = each ($para)) {
            $arg.=$key."=".$val."&";
        }
        //去掉最后一个&字符
        $arg = substr($arg,0,count($arg)-2);

        //如果存在转义字符,那么去掉转义
        if(get_magic_quotes_gpc()){$arg = stripslashes($arg);}

        return $arg;
    }

    /**
     * 签名字符串
     * @param $prestr 需要签名的字符串
     * @param $key 私钥
     * return 签名结果
     */
    function md5Sign($prestr, $key) {
        $prestr = $prestr . $key;
        return md5($prestr);
    }

    /**
     * 验证签名
     * @param string $prestr 需要签名的字符串
     * @param string $sign 签名结果
     * @param string $key 私钥
     * return boolean 签名结果
     */
    function md5Verify($prestr, $sign, $key) {
        $prestr = $prestr . $key;
        $mysgin = md5($prestr);

        if($mysgin == $sign) {
            return true;
        }
        else {
            return false;
        }
    }

    /**
     * 除去数组中的空值和签名参数
     * @param $para 签名参数组
     * return 去掉空值与签名参数后的新签名参数组
     */
    function paraFilter($para) {
        $para_filter = array();
        while (list ($key, $val) = each ($para)) {
            if($key == "sign" || $key == "sign_type" || $val == "")continue;
            else    $para_filter[$key] = $para[$key];
        }
        return $para_filter;
    }

    /**
     * 对数组排序
     * @param $para 排序前的数组
     * return 排序后的数组
     */
    function argSort($para) {
        ksort($para);
        reset($para);
        return $para;
    }    
}

include './httplib.class.php';// 基础的 curl
include './sign.class.php';   
$app_id = 'demo';
$app_secret = 'your secret';
$time = time();
$data = [
    'uid' => '1',
    'name' => 'kevin',
    'age' => '25',
    'fid' => '1',
    '_timestamp' => $time,
];
$sign = new sign();
$params = $sign->buildRequestPara($data, $app_secret);
$http = new httplib();
$request_url = 'http://127.0.0.1/sign_response.php';// 服务端接口地址
$http->request($request_url, $params);

服务端接口处理

include './sign.class.php';
$app_id = 'demo';
$app_secret = 'your secret';

$sign = new sign();
$data = $_POST; // 未做安全处理
if(!isset($data['sign']) || empty($data['sign']))
{
    echo '缺少签名参数';exit;
}
$sign = new sign();

if($sign->getSignVeryfy($data, $data['sign'], $app_secret)) {
    echo '签名认证成功,继续你的业务逻辑';
} else {
    echo '签名失败';
}

运行结果
这里写图片描述

关于多次提交客服端可相对判定

  1. 上面的栗子可以根据一个时间戳字段 _timestamp 在相对时间内请求多次。
if(!isset($data['_timestamp']) || empty($data['_timestamp']))
{
    echo '缺少时间参数';exit;
}
$nowtime = time();

// 120 秒 即 2分钟内 请求是有效的,客服端和服务端时间可能有差异,此判断不是客观的,根据时间情况参订
if(($nowtime-intval($data['_timestamp'])) > 120)
{
    echo '缺少时间参数';exit;
}
  • 以上只是相对判定,服务端当然也可以保存客户端请求,下次进行判定,当然成本很高。服务端也可以生成 一次性token,客户端得到此token传递数据时候带上token 服务端再次验证token的有效性
深夜的猫
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
前端请求restful风格接口怎么传参_RESTful风格的API接口开发教程
weixin_42513152的博客
12-24 1680
写在前面的话网络程序正朝着移动设备的方向发展,前后端分离、APP,最好的交互交互方式莫过于通过API接口实现。既然要进行数据交互,那么这接口就得有讲究了:既要实用,又要优雅好看!那么,如何写一套漂亮的API接口呢?本次我们先了解一下Spring对API接口开发的支持,然后我们采用Spring Boot搭建项目,借用Swagger2列出API接口,便于查阅。返回格式API接口要求返回的格式是 app...
接口开发规范(RESTful api)和token(令牌),md5使用
weixin_58139900的博客
12-19 2499
目录 优点: 常用方法规范 路由如何定义 根据RESTful 进行接口开发 接口文档组成 Token使用 什么是JWT? 【了解】 token的使用规则 本地客户端(浏览器是常见客户之一 )存储技术有三种:【重点】 使用步骤 uuid和md5 API: APIApplication Programming Interface,应用程序接口)是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。 RESTful规范,是目前一种比较流行的互联网软件设计规.
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
安全优雅的RESTful API签名实现方案
weixin_30929295的博客
06-20 1373
安全优雅的RESTful API签名实现方案 1、接口签名的必要性 在为第三方系统提供接口的时候,肯定要考虑接口数据安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。 2、项目中签名方案痛点 每个接口有各自的签名方案,不统一,维护成本较高。 没有对消息实体进行签名,无法避免数据被篡...
推荐开源项目:Spring Boot 文件上传下载RESTful API 示例
最新发布
gitblog_00083的博客
05-23 375
推荐开源项目:Spring Boot 文件上传下载RESTful API 示例 项目地址:https://gitcode.com/callicoder/spring-boot-file-upload-download-rest-api-example 在这个数字化的时代,文件的上传和下载功能已经成为任何Web应用不可或缺的一部分。今天,我们要介绍一个由callicoder精心打造的开源项目——Sp...
IDEA对于mybatis.xml文件没有自动提示功能
qq_2227593461的博客
09-27 1958
IDEA对于mybatis.xml文件没有自动提示功能 首先下载两个文件,一个是mybatis-mapper.xml,一个是mybatis-config.xml,将其导入到IDEA中就有代码提示啦。自测可用。 导入方式,file->setting 或者setting for new project languages&frameworks->schemas and dtds 在右侧上面的窗口点击添加,如图,添加两个dtd文件,前面的内容是头文件的内容: 1 http://mybatis
Restful API AK/SK认证
lijiale的博客
11-12 7638
AK/SK简介 AK(Access Key ID,用于标识用户)/SK(Secret Access Key,是用户用于加密认证的字符串和验证认证字符串的密钥,SK必须保密),主要用于对用户的调用行为进行鉴权和认证,相当于专用的用户名和密码 AK/SK认证流程 客户端根据双方协商好的规则算法生成Signature认证字符串,并将生成的Signature认证字符串设置到header中。当API网关/服务端接收到请求后,判断请求中是否包含Signature认证字符串。如果包含认证字符串,则执行下一步操作。 基于
Api-docs.zip
09-18
1. **Web API**:也称为HTTP APIRESTful API,它们基于HTTP协议,通过URL、HTTP方法(GET、POST、PUT、DELETE等)和JSON或XML格式传输数据。Web API常用于构建分布式系统和跨域通信,如网页应用与后端服务器的交互...
Simple-Spring-API
05-12
- **JSON**:JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,常用于API之间的数据传输,因其易于人阅读和编写,同时也易于机器解析和生成。 - **spring-boot** 和 **springboot**:两者都是指...
restlet restful
11-14
RESTful API提供了一种标准化的方式来暴露和访问数据,使得不同应用、服务之间可以轻松地共享和交换数据。它通常以JSON或XML格式传输数据,这两种格式易于解析且跨平台兼容性好。 "绝对不坑"可能意味着这个项目或者...
Python-Api签名验证样例
08-10
API(应用程序编程接口)开发中,为了确保数据安全传输,通常会采用签名验证机制。本文将详细探讨Python中API签名验证的相关知识点,以"Python-Api签名验证样例"为例,结合`flask-apiSign-demo-master`这个...
数据访问方法的比较-第3部分
04-11
对于微服务架构,可能需要考虑服务间的数据传输方式,如GraphQL或RESTful API。 在"SQLPerformanceInsertUpdateDelete.zip"中,可能包含了关于SQL性能测试的示例,对比了不同的插入、更新和删除操作的效率。...
Restful传递数组参数的两种方式
weixin_30603633的博客
03-18 5062
第一种,直接传递数组 js直接传递数组 var data = ["123","456"];that.loadDictionarys(data).subscribe({ next: res => { }, error: err => { } }); 后端接口直接接收数组 @POST @Pa...
RESTful参数传递方法
方舟的博客
08-14 1万+
Go语言RESTful参数传递 参考文章:https://blog.csdn.net/xingwangc2014/article/details/51623157 Go语言可以通过RESTful的方法实现守护,简单总结下RESTful的参数传递方法 一、使用URL的方式将参数传递到处理函数中 形如:/todos/{todoId}这种类型的url中的todoId参数是可以被RESTful解析...
C# 请求接口RestfulAPI,Get请求,Post请求,上传附件及带参数
成长,快乐,与汝相伴!
09-15 3610
/// <summary> /// GET /// </summary> /// <param name="url"></param> /// <returns></returns> public static string HttpGet(string url) { //ServicePointMa...
C#如何使用REST接口读写数据
Sayesan的专栏
12-12 1014
根据网上的文章整理了下。 先定义几个枚举 /// <summary> /// HTTP访问method 常用的几样 /// </summary> public enum HttpVerb { /// <summary> /// get:获取 ...
restful接口,入参以流的形式接收,出参流返回
YuChenIT的博客
02-22 4830
@PostMapping("Statusback")   public void Statusback(HttpServletRequest request, HttpServletResponse response) {     StringBuilder sb = new StringBuilder();     try {       request.getReader().lines()....
Restful接口中,对象、Map以及Date类型的传参方式
热门推荐
Java技术
11-03 1万+
代码如下:import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RequestMapping; import org.springframew
Restful 接口传递参数
weixin_30363509的博客
06-12 2964
首先补充一下什么是 Restful ,这里简单说一下,如果一个架构符合REST原则,就称它为RESTful架构。 RESTful架构特点:   (1)每一个URI代表一种资源;   (2)客户端和服务器之间,传递这种资源的某种表现层;   (3)客户端通过四个HTTP动词,对服务器端资源进行操作,实现"表现层状态转化"。 具体介绍参考: RESTful API 设计指南 RESTful架构...
GraphQL vs RESTful API在无状态架构中的对比与优势深度解析
API作为应用程序间通信的关键,对于使用无状态架构的API管理,其复杂性相对较低,因为无需维护客户端会话信息,每个请求都包含所有必要的数据。 GraphQL和RESTful服务是两种常见的API设计范式。GraphQL是一种查询...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值