服务器端数据合法性验证:签名sign和口令token原理

最新推荐文章于 2024-04-21 12:00:00 发布
最新推荐文章于 2024-04-21 12:00:00 发布
阅读量1.6k 收藏
点赞数

有时候,你也许会想:
我写的接口,那别人要是知道url,并且知道其需要的数据结构和逻辑,那不是都可以访问了?
甚至是,客户点传递过来的数据,是不是被恶意修改了?
这时,我们可能需要“验证”一下。比如:登录验证,只有登录以后才能来到后台。

这里给出几种【验证】方式,大神勿喷:
1:sign验证法:
这种验证方式,一般过程是:
第一:给你一个【私钥】[app_secret] 和[app_id]
第二:你要提交的所有数据都需要提供sign签名。
第三:sign签名的获取方式。
例如:给用户id为99的人增加100积分:
$app_id = 'Te001';$secret = 'e10adc3949ba59abbe56e057f20f883e'; $url = 'http://127.0.0.1/test/apiDataCheck';$post = array(    'user_id' => 99,    'point' => 100);  function addSign($url, $data){    $str = '';    $data['app_id'] = $app_id;    ksort($data);    foreach($data as $k => $v){        $str .= $k.'='.$v.'&';    }    $str = substring($str, 0, -1);    $str = $url.'?'.$str.$secret;    $data['sign'] = md5($str);    return $data;} curl_post($url, addSign($post));
addSign 就是一个sign的获取方式:所有数据加上app_id,字段顺序排序,以get参数方式连接。然后url+?+get参数+私钥,进行md5加密获取sign签名。进而进行接口调用。
第四:服务器端验证数据合法性。
$url = 'http://127.0.0.1/test/apiDataCheck';$app_secret = 'select app_secret from app_id_secret where app_id='.intval($_POST['app_id']); function checkSign($url, $post){    $str = '';    $sign = $post['sign'];    unset($post['sign']);    foreach($post as $k => $v){        $str .= $k.'='.$v.'&';    }    $str = substring($str, 0, -1);    $str = $url.'?'.$str.$app_secret;    return $sign == md5($str);} if($app_secret && checkSign($url, $_POST)){    $res = 'update user_point set point=point+100 where user_id='.$_POST['user_id'];}
接口在操作数据之前,首先按照原本既定的sign生成方式,验证sign合法性,进而进行下一步操作。

很多第三方的接口都存在这样的一个签名验证,如:美团外卖和微信等。但其原理大同小异。

2:token法:
token法的步骤大概是:
1:给你一个app_id和app_secret。
2:提供一个利用app_id和app_secret获取token的接口。
3:token的时效性设定。
4:获取token接口的使用次数限制。
1:获取token$app_id = 'Token001';$app_secret = 'e10adc3949ba59abbe56e057f20f883e'; $url = 'http://127.0.0.1/token/getToken?app_id='.$app_ip.'&app_secret='.$app_secret; $token = curl_get($url); // $token = array(//     'token' => 'e10adc3949ba59abbe56e057f20f883e',//     'expire' => '1444444400'// ); session('token', $token['token']);session('expire', $token['expire']); 2:接口调用$url = 'http://127.0.0.1/token/getUserInfo';$post['user_id'] = 1;if(time() < session('expire')){    $post['user_id'] = 1;    $post['token'] = session('token');}else{    步骤1:}$userInfo = curl_post($post);

5:服务器验证token:
1:生成token并返回 define('EXPIRE', 3600);$post = array(    $app_id = 'Token001';    $app_secret = 'e10adc3949ba59abbe56e057f20f883e';);$tcount = 'select count(*) from app_token where app_id='.$post['app_id'];if($tcount >= 50){    // app_id 获取token次数太多}else{    $token['token'] = md5($post['app_id'].time().$post['app_secret'].EXPIRE);    $token['expire'] = time()+EXPIRE;    $insert = 'insert into app_token value(null, '.$post['app_id'].', '.$token['token'].');';} 2:接口验证token$post = array(    $user_id = 1;    $token = 'e10adc3949ba59abbe56e057f20f883e';);$token = 'select token from app_token where app_id='.$post['app_id'].' order by id desc limit 1'; if($token == $post['token']){    return 'select * from user where user_id='.$post['user_id'];}else{    // token 错误}
token的生成办法可以自由设定,token的获取次数和过期时间都可以加进去。上例只是说明下原理和思路。

一起学python吧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebApi安全性 使用TOKEN+签名验证.zip
07-19
WebApi token+签名认证的主要原理是:1....服务器端每次接收到请求就获取对应用户的token和请求参数,服务器端再次计算签名和客户端签名做对比,如果验证通过则正常访问相应的api,验证失败则返回具体的失败信息
java web开发 签名_javaweb 安全传输签名机制
weixin_34891592的博客
02-13 203
java web传输中的安全签名说明:对请求中的数据 Key对进行签名,最终生成一个签名字符串,标记为sign:"djflw8wejwl9w0ejwlush8fw9ew9",位数64位或32位,服务器端拿到相关数据同样进行签名,与客户端传入的进行比对,如果签名不一致,说明请求数据被篡改,根据业务场景进行相应的拒绝。/*** 签名校验* @param reqMap* @param key* @ret...
Token详解及安全验证
最新发布
wangluoanquan111的博客
04-21 1154
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成“令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。
java检测密码合法性_数据合法性检测
weixin_36204992的博客
02-24 445
一般的数据类都应该有自己的数据合法性检查,如一个Person类,它的年龄属性是int型的,但是如果给它赋值10000则为不合法,一个人不可能活那么长时间。因此需要在创建该类的对象时必需对其进行合法性检查,若构造方法传入的是非法数据,则不让其创建该对象,并抛出异常。也许大多数人认为只需要对构造方法传入的参数进行合法性检查即可。如下所示:class ValidClass{int dataValid1;...
验证用户的合法性
az131026123的博客
09-17 408
# serverimport osimport socketimport hashlibSECRET_KEY = b'alexbigsb' def check_client(conn): randbytes = os.urandom(32) conn.send(randbytes) md5 = hashlib.md5(SECRET_KEY) md5.upda...
Sign签名
t194978的博客
12-16 2741
Sign签名token口令 - 卡尔·马克思 - 博客园】https://www.cnblogs.com/Karl-H/p/14621348.html
verify-apple-id-token:验证服务器端的Apple ID令牌
03-17
使用服务器的公钥验证JWS E256签名 验证随机数以进行身份​​验证 验证iss字段包含 验证aud字段是开发人员的client_id 验证时间早于令牌的exp值 安装 npm install verify-apple-id-token 用法 打字稿 import ...
微信公众号服务器验证Token步骤图解
01-19
这篇文章主要介绍了微信公众号服务器验证Token步骤图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 服务器验证Token验证分为以下及步骤 一,在微信公众号...
PHP token验证生成原理实例分析
10-16
在PHP开发中,Token验证是一种常见的安全机制,用于防止跨站请求伪造(Cross-Site Request Forgery, CSRF)攻击。...开发者在实现Token验证时,应考虑到时效性、一次性以及与服务器端数据的匹配,确保系统的安全性。
微信小程序配置服务器提示验证token失败的解决方法
12-01
关于这个服务器的配置我也是绕了好多弯路,说白了腾讯就是想通过你填的这个URL和Token验证你有一个自己的服务器(外网可以访问的服务器),其实就是想让你证明你是你自己,呵呵…. 关于这个token随便填不要纠结,...
HTTP Authentication(客户端请求合法性认证)
JavaBuilt的博客
03-09 5635
HTTP Authentication(客户端请求合法性认证) 最近公司项目架构设计时,需要考虑安全性问题。本章是关于 客户端请求合法性认证 的相关话题。HTTP Authentication 请求认证客户端发送请求时需认证此信息作用:防止其他方式请求资源,保护资源不被窃取方式一:Basic Authentication    当客户端发送请求时,服务器会进行认证1.    用户发送请求给服务器2...
向服务端上传数据如何确保数据完整性、安全性
Yvan
10-16 684
向服务端上传数据如何确保数据完整性、安全性,MD5/AES/RSA加密方式
服务器系统如何校验md5值,怎么验证md5-NTP的MD5加密
weixin_39959335的博客
08-12 1321
NTP的MD5是一种验证机制,如果服务器启用MD5,不强制要求客户配置MD5验证,客户端发送MD5验证包,服务器回复MD5的NTP数据包;客户端不发送MD5验证数据包,服务器回复不含MD5的数据包。使用MD5的必须客户端和时钟服务器同时使用同一套MD5验证码,且必须指定使用那个MD5的值。如果客户端有keys而服务器没有,会导致客户端没法校正时间。HJ210系列服务器NTP服务支持MD5加密,通过...
ajax在用户登录时异步验证用户合法性
zhang245754954的博客
10-01 2158
AJAX(Asynchronous JavaScript and XML) 是多种技术的综合应用, 包括XHTML、Javascript和XML等。 AJAX使用XHTML和CSS标准化呈现,使用XML和JSON进行数据交换与处理,使用JavaScript绑定和处理所有数据。 在AJAX提出之前,业界对于上述技术都只是单独的使用,没有综合应用。 “AJAX”这个名字是在2005年2月,Jesse J
验证客户端连接的合法性
qq_37493425的博客
04-29 450
hams #client import socket import hmac sk = socket.socket() sk.connect(('127.0.0.1',8090)) recv = sk.recv(1024) # 用和server端相同的手法对这个字符串进行摘要 secret_key = b'egg' # 密钥 hmac_obj = hmac.new(secret_key,rec...
前端- - -数据合法性校验
王大锤的博客
05-03 1186
0 套路 给要校验的输入框添加校验事件(方法) 在方法中定义校验规则reg 使用reg.tes(param)方法进行校验,参数:被校验的值;返回值:Boolean,校验通过返回true,失败返回false 做提示。对校验结果进行转化提示。 代码示例是基于vue+element-ui的 1 手机号校验 1.1 html <el-input v-model="user.phone" maxlength="11" @blur="isLe
快速部署Qsign签名服务器为go-cqhttp或icqq进行签名认证
热门推荐
大狐狐的博客!
07-21 1万+
用于一键在Windows下部署fuqiuluo/unidbg-fetch-qsign
请求数据通过URL加入sign验证加密与解密
墨的博客
03-28 2697
通过生成sign对网络请求进行加密的算法案例分析
JWT怎么验证token合法性
07-28
3. 验证签名:使用相同的密钥和加密算法,对头部和负载进行签名验证。确保签名与接收到的Token一致,以此验证Token的完整性和真实性。 4. 验证有效期:检查Token中的有效期(exp)是否过期。可以比较当前时间与有效...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值