php有关api接口的一些原理（验证）

php的api接口

在实际工作中，使用PHP写api接口是经常做的，php写好接口后，前台就可以通过链接获取接口提供的数据，而返回的数据一般分为两种情况，xml和json,在这个过程中，服务器并不知道，请求的来源是什么，有可能是别人非法调用我们的接口，获取数据，因此就要使用安全验证。

 验证原理

 示意图

 原理

从图中可以看得很清楚，前台想要调用接口，需要使用几个参数生成签名。

• 时间戳：当前时间
• 随机数：随机生成的随机数
• 口令：前后台开发时，一个双方都知道的标识，相当于暗号
• 算法规则：商定好的运算规则，上面三个参数可以利用算法规则生成一个签名。

前台生成一个签名，当需要访问接口的时候，把时间戳，随机数，签名通过URL传递到后台。后台拿到时间戳，随机数后，通过一样的算法规则计算出签名，然后和传递过来的签名进行对比，一样的话，返回数据。

 算法规则

在前后台交互中，算法规则是非常重要的，前后台都要通过算法规则计算出签名，至于规则怎么制定，看你怎么高兴怎么来。

我这个算法规则是

1. 时间戳，随机数，口令按照首字母大小写顺序排序
2. 然后拼接成字符串
3. 进行sha1加密
4. 再进行MD5加密
5. 转换成大写。

 前台

这里我并没有实际的前台，直接使用一个PHP文件代替前台，然后通过CURL模拟GET请求。我使用的是TP框架，URL格式是pathinfo格式。

 源代码

1. <?php

2. /**

3. * Created by PhpStorm.

4. * User: Administrator

5. * Date: 2017/3/16 0016

6. * Time: 15:56

7. */

8. namespace Client\Controller;

9. use Think\Controller;

10.  

11. class ClientController extends Controller{

12. const TOKEN = 'API';

13. //模拟前台请求服务器api接口

14. public function getDataFromServer(){

15. //时间戳

16. $timeStamp = time();

17. //随机数

18. $randomStr = $this -> createNonceStr();

19. //生成签名

20. $signature = $this -> arithmetic($timeStamp,$randomStr);

21. //url地址

22. $url = "http://www.apitest.com/Server/Server/respond/t/{$timeStamp}/r/{$randomStr}/s/{$signature}";

23. $result = $this -> httpGet($url);

24. dump($result);

25. }

26.  

27. //curl模拟get请求。

28. private function httpGet($url){

29. $curl = curl_init();

30.  

31. //需要请求的是哪个地址

32. curl_setopt($curl,CURLOPT_URL,$url);

33. //表示把请求的数据已文件流的方式输出到变量中

34. curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);

35.  

36. $result = curl_exec($curl);

37. curl_close($curl);

38. return $result;

39. }

40.  

41. //随机生成字符串

42. private function createNonceStr($length = 8) {

43. $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";

44. $str = "";

45. for ($i = 0; $i < $length; $i++) {

46. $str .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);

47. }

48. return "z".$str;

49. }

50.  

51. /**

52. * @param $timeStamp 时间戳

53. * @param $randomStr 随机字符串

54. * @return string 返回签名

55. */

56. private function arithmetic($timeStamp,$randomStr){

57. $arr['timeStamp'] = $timeStamp;

58. $arr['randomStr'] = $randomStr;

59. $arr['token'] = self::TOKEN;

60. //按照首字母大小写顺序排序

61. sort($arr,SORT_STRING);

62. //拼接成字符串

63. $str = implode($arr);

64. //进行加密

65. $signature = sha1($str);

66. $signature = md5($signature);

67. //转换成大写

68. $signature = strtoupper($signature);

69. return $signature;

70. }

71. }

 服务器端

接受前台数据进行验证

 源代码

1. <?php

2. /**

3. * Created by PhpStorm.

4. * User: Administrator

5. * Date: 2017/3/16 0016

6. * Time: 16:01

7. */

8. namespace Server\Controller;

9. use Think\Controller;

10.  

11. class ServerController extends Controller{

12. const TOKEN = 'API';

13.  

14. //响应前台的请求

15. public function respond(){

16. //验证身份

17. $timeStamp = $_GET['t'];

18. $randomStr = $_GET['r'];

19. $signature = $_GET['s'];

20. $str = $this -> arithmetic($timeStamp,$randomStr);

21. if($str != $signature){

22. echo "-1";

23. exit;

24. }

25. //模拟数据

26. $arr['name'] = 'api';

27. $arr['age'] = 15;

28. $arr['address'] = 'zz';

29. $arr['ip'] = "192.168.0.1";

30. echo json_encode($arr);

31. }

32.  

33. /**

34. * @param $timeStamp 时间戳

35. * @param $randomStr 随机字符串

36. * @return string 返回签名

37. */

38. public function arithmetic($timeStamp,$randomStr){

39. $arr['timeStamp'] = $timeStamp;

40. $arr['randomStr'] = $randomStr;

41. $arr['token'] = self::TOKEN;

42. //按照首字母大小写顺序排序

43. sort($arr,SORT_STRING);

44. //拼接成字符串

45. $str = implode($arr);

46. //进行加密

47. $signature = sha1($str);

48. $signature = md5($signature);

49. //转换成大写

50. $signature = strtoupper($signature);

51. return $signature;

52. }

53. }

 结果

string(57) "{"name":"api","age":15,"address":"zz","ip":"192.168.0.1"}"

 总结

这种方法只是其中的一种方法，其实还有很多方法都是可以进行安全验证的。