php 接口安全性,开发者,服务提供商

最新推荐文章于 2023-04-27 19:49:50 发布
最新推荐文章于 2023-04-27 19:49:50 发布
阅读量342 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengzuchao/article/details/80535895
版权

1. 角色:

    服务提供商
    开发者

2. 大概流程
开发者:
1. 开发者在服务提供商那边添加应用,服务提供商分配appid,appkey
2. 签名
   参数ACSII从小到大排序
   参数值为空不参与签名
   参数名区分大小写
php为例
   $params = ksort($params);        //参数ACSII从小到大排序
   ....循环拼接....                 //参数循环名,值字符串 &连接
   $params .= "key=".$appkey;       //拼接密钥 
   $sign = strtolower(md5(params)); //生成签名,转换为小写
   
3. 接口请求
原参数带上sign参数,sign值为签名后的字符串
eg:
platform 1
uid     2016539
sign 25B8EFA53D7D6AE5D136CAEB0E2D4E1A
appid 4
username m258369
nonce_str  12552355 //随机字符串


服务提供商:
1. 验证appid是否存在,有,得到appkey
2. 签名验证,保证参数是否完整,没有篡改过(传过来的参数,去掉sign参数,组装生成签名与sign参数比较,如果相等,签名通过,如果不相等,签名不通过,数据被更改过)

3. 签名通过,求接口数据

          

  • 确认哪位用户在做 API 请求。因为在发送请求前需要用户指定生成数字签名的秘钥对,在服务端即可通过该秘钥对确定用户身份,进而可做访问权限管理。
  • 确认用户请求在网络传输过程中有无被篡改。因为服务端会对接收到的请求内容重新计算数字签名,一旦请求内容在网络上被篡改,则无法通过数字签名比对。

数字签名是个加密的过程,数字签名验证是个解密的过程。(appid 公钥  appkey私钥)

数字签名是非对称密钥加密技术数字摘要技术的应用。


更多:https://help.aliyun.com/document_detail/29012.html?spm=a2c4g.11186623.6.773.78y3gq

          https://pay.weixin.qq.com/wiki/doc/api/app/app.php?chapter=4_3



蒙--
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
api 安全
北漂猿
01-31 845
摘自: https://www.cnblogs.com/xingxia/p/api_secrute.html APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全的API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证
PHP 如何保证接口安全性
华章酱的博客
01-29 1072
​ APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全的API接口方案呢
PHP开发API接口安全验证accesstoken
superw的博客
01-29 833
背景 使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 验证原理 前台想要调用接口,需要使用几个参数生成签名。 时间戳:当前时间 随机数:随机生成的随机数 口令:前后台开发时,一个双方都知道的标识,相当于暗号 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。 前台生成一个签名.
PHP接口数据安全解决方案(二)
withoutfear的博客
10-08 1万+
前言 实例演示token签名并创建token 解析token并校验token合法性 类库封装管理jwt实例 前言 JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者
PHP接口数据安全解决方案(一)
withoutfear的博客
10-08 902
前言 目录介绍 登录鉴权图 接口请求安全性校验整体流程图 代码展示 演示用户登录 演示获取用户信息 文章完整代码地址 后记 前言 目的: 1.实现前后端代码分离,分布式部署 2.利用token替代session实现状态保持,token是有时效性的满足退出登录,token存入redis可以解决不同服务器之间session不同步的问题,满足分布式部署 3.利用sign,前端按照约定的方式组合加密生成字符串来校验用户传递的参数跟后端接收的参数是否一直,保障接口数据传递的安全 4.利用no
php对接海康威视接口开发
08-04
而海康威视则是全球知名的安防设备与解决方案提供商,其产品涵盖了监控摄像头、录像机等众多领域。当需要通过编程方式与海康威视的设备进行交互时,就需要用到接口开发。本话题聚焦于如何利用PHP对接海康威视的综合...
APISpace 运营商二要素 API接口 PHP调用示例代码
05-09
总的来说,APISpace的运营商二要素API接口PHP开发者提供了一种简便的方式来验证用户手机号码的运营商信息,从而提升应用的安全性和用户体验。正确地调用和处理API返回的数据是开发过程中的重要环节。在使用任何API...
APISpace 运营商三要素 API接口 PHP调用示例代码
05-09
总的来说,APISpace的运营商三要素API为开发者提供了一种便捷的方式来验证用户的身份信息。通过PHP调用API,开发者可以轻松地集成这一功能到自己的应用程序中,提高用户验证的效率和安全性。在实际使用过程中,应...
基于PHP工业电子元件服务商网站.zip
最新发布
04-29
"基于PHP工业电子元件服务商网站"这一标题揭示了项目的核心技术栈和应用领域。PHP是一种广泛使用的开源脚本语言,尤其在Web开发中占据重要地位。而“工业电子元件服务商”则表明这是一个针对工业电子元件销售或服务...
网易云解析接口-PHP.zip
01-27
3. **API调用**:API(Application Programming Interface)是服务提供商提供的一组规则和协议,允许开发者与其服务进行交互。网易云解析接口可能是用于获取音乐信息、播放链接或者歌曲下载等。调用API通常涉及指定...
PHP接口安全处理
weixin_44355650的博客
04-27 151
PHP接口安全处理
php接口开发 安全_PHP开发api接口安全验证
weixin_42144201的博客
03-09 311
在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。验证原理示意图这里写图片描述原理从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。时间戳:当前时间随机数:随机生成的随机...
PHP开发api接口安全验证
li741350149的博客
03-20 3万+
PHP的api接口 在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 验证原理 示意图 前台 <?php /** * Created by PhpStorm.
php 接口的安全实现
qq_38234594的博客
09-20 555
https://www.cnblogs.com/afsj/p/7424320.html PHP做APP接口时,如何保证接口安全性? 1、当用户登录APP时,使用https协议调用后台相关接口,服务器端根据用户名和密码时生成一个access_key,并将access_key保存在session中,将生成的access_key和session_id返回给APP端。 2、APP端将接收到的access_key和session_id保存起来 3、当APP端调用接口传输数据时,将所传数据和access_key
PHP做APP接口时,如何保证接口安全性
lhbeggar的专栏
06-05 1万+
PHP做APP接口时,如何保证接口安全性? 1、当用户登录APP时,使用https协议调用后台相关接口,服务器端根据用户名和密码时生成一个access_key,并将access_key保存在session中,将生成的access_key和session_id返回给APP端。 2、APP端将接收到的access_key和session_id保存起来 3、当APP端调用接口传输数据时,将所传数
php接口安全的方面
ltstud的博客
08-10 2930
在平时工作或者正式项目中,做接口在所难免,而接口的安全问题首当其冲,为了防止接口被别人恶意调用,一般会做一个加密的工作,不同的公司,都有一套不同的处理方式。我们公司也有一套处理方式,即:做了一个加密的token,该token为时间戳和一个特殊字符串(这个字符串只能调用和被调用方知道)的md5,我也一直用这个处理方式来做接口。   有一次在帮部门的一个同事做接口的时候,他忽然跟我说起接口的事情,如
APP接口设计安全问题
热门推荐
AndyLizh的专栏
09-10 6万+
PHP做服务器接口客户端用http协议POST访问安全性一般怎么做
php api接口验证,PHP安全:API接口访问安全
weixin_39605278的博客
03-09 488
原标题:PHP安全:API接口访问安全但是对于API服务器,不能让访问者使用Session ID进行访问,这样既不安全,也不友好。由HTTP进行通信的数据大多是未经加密的明文,包括请求参数、返回值、Cookie、Header等数据,因此,外界通过对通信的监听,便可轻而易举根据请求和响应双方的格式,伪造请求与响应,修改和窃取各种信息。所有的认证信息一定要经过加密处理,禁止身份认证信息进行明文传输,避...
php 接口安全检查--防止url链接或者接口地址暴露后,网站被恶意攻击
little_rabbit_baby的博客
09-28 2839
网站安全问题: 1.Session检查防止攻击: function checkusersession(){     $sid = cookie('sid');     if($sid === null)      {     $obj['result'] = -1;     echo json_encode($obj);     exit();     }else{     $
Magento 1.3 PHP开发者指南:打造功能丰富的电商网站
"Magento 1.3: PHP Developer's Guide" 本书《Magento 1.3: PHP Developer's Guide》由Jamie Huskisson编写,是专为希望设计、开发...书中可能提及的公司和产品商标,出版商尽力提供了正确的表示,但不保证其准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值