php如何在header增加key,sign,timestamp?怎么鉴权?

最新推荐文章于 2024-06-02 00:39:10 发布
最新推荐文章于 2024-06-02 00:39:10 发布
阅读量666 收藏 1
点赞数
文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phpCenter/article/details/133892902
版权

在PHP中,您可以通过在HTTP请求的Header中增加Key、Sign和Timestamp等信息来进行安全性鉴权。

以下是一种基本的思路和示例,用于说明如何实现这种鉴权机制:

  1. 生成Key和Sign: 服务端和客户端之间共享一个密钥(Key)。当客户端发起请求时,它需要使用密钥生成一个签名(Sign)。签名可以使用加密算法(例如HMAC-SHA256)来生成,将请求参数和时间戳(Timestamp)等信息与密钥结合起来计算得到。签名用于验证请求的完整性和来源。

  2. 添加Header信息: 客户端将生成的Sign和Timestamp以及Key添加到HTTP请求的Header中。通常,Key可以在每次请求中都包含在Header中,而Sign和Timestamp则需要针对每个请求进行计算。

  3. 服务端验证: 服务端接收到请求后,从Header中提取Key、Sign和Timestamp等信息。然后,服务端使用相同的密钥和相同的算法来计算请求的签名,并与客户端提供的签名进行比较。如果签名匹配且时间戳在合理范围内,则请求被视为有效,否则将被拒绝。

以下是一个简化的示例,演示如何在PHP中实现这个过程:

客户端请求示例(使用 cURL):

<?php
$apiKey = 'your_api_key';
$apiSecret = 'your_api_secret';

// 构建请求数据
$data = [
    'param1' => 'value1',
    'param2' => 'value2',
];

// 生成时间戳
$timestamp = time();

// 生成签名
$signature = hash_hmac('sha256', json_encode($data) . $timestamp, $apiSecret);

// 发起HTTP请求,将Key、Sign和Timestamp添加到Header中
$ch = curl_init('https://example.com/api/endpoint');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HTTPHEADER, [
    'X-Api-Key: ' . $apiKey,
    'X-Api-Signature: ' . $signature,
    'X-Api-Timestamp: ' . $timestamp,
]);
curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode($data));
$response = curl_exec($ch);
curl_close($ch);

echo $response;
?>

服务端验证示例:

<?php
$apiKey = 'your_api_key';
$apiSecret = 'your_api_secret';

// 获取请求中的Header信息
$headers = getallheaders();

if (
    isset($headers['X-Api-Key']) && 
    isset($headers['X-Api-Signature']) && 
    isset($headers['X-Api-Timestamp'])
) {
    $clientKey = $headers['X-Api-Key'];
    $clientSignature = $headers['X-Api-Signature'];
    $clientTimestamp = $headers['X-Api-Timestamp'];

    // 验证时间戳是否在合理范围内,以防止重放攻击
    $currentTime = time();
    if (abs($currentTime - $clientTimestamp) > 300) { // 设置合理的时间范围
        http_response_code(401);
        exit('Unauthorized - Timestamp is not valid.');
    }

    // 重新计算签名并与客户端提供的签名比较
    $data = file_get_contents('php://input');
    $serverSignature = hash_hmac('sha256', $data . $clientTimestamp, $apiSecret);

    if ($serverSignature === $clientSignature && $clientKey === $apiKey) {
        // 验证通过,处理请求
        echo 'Authentication successful!';
        // 在这里执行业务逻辑
    } else {
        http_response_code(401);
        exit('Unauthorized - Signature is not valid.');
    }
} else {
    http_response_code(401);
    exit('Unauthorized - Headers are missing.');
}
?>

这只是一个简单的示例,实际应用中需要更多的安全性和错误处理机制。鉴权过程应根据具体的安全需求和应用程序设计进行调整。此外,考虑使用HTTPS来加密通信以提高安全性。

PHP技术社区
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API接口设计之token、timestampsign
06-24
API接口设计之token、timestampsign的具体使用demo示例。
http-signature-header
05-07
HTTP签名标头(http-signature-header) 一个用于创建和验证HTTP签名标头JavaScript库 目录 背景 安装 要在本地安装(用于开发): git clone https://github.com/digitalbazaar/http-signature-header.git cd http-signature-header npm install 用法 const { createAuthzHeader , createSignatureString } = require ( 'http-signature-header' ) ; const requestOptions = { url , method : 'POST' , headers } const includeHeaders = [ 'expires' , 'host' , '(
蓝易云 - PHPheader增加keysigntimestamp并进行鉴权操作教程.
最新发布
高性价比服务器就选:蓝易云
06-02 196
PHP中,我们经常需要在HTTP请求中添加自定义的header,例如keysigntimestamp等,以进行鉴权操作。需要注意的是,这只是一个基本的示例,实际的鉴权操作可能会更复杂,例如,可能需要使用更复杂的算法来计算sign,或者需要处理更多的错误情况。最后,虽然这个教程是关于PHP的,但是在其他语言中添加自定义header并进行鉴权操作的基本步骤是类似的。在这个例子中,如果sign不匹配,我们就发送一个403 Forbidden响应,并停止脚本的执行。在这个例子中,我们使用了PHP的。
学习路之PHP--获取header参数中自定义key的值
Green
11-19 2523
//获取header参数中自定义key的值 // $no_token = Request::instance()->header('noToken');//方法一 // $no_token = isset($_SERVER['HTTP_NOTOKEN']) ? $_SERVER['HTTP_NOTOKEN'] : '未知';//方法二 // if ($no_token== 'true') { // return ...
jmeter将接口请求内容进行md5加密后,得到签名,放在http header;再进行http请求
wangmiaoyan的博客
09-17 3712
需求:将接口请求内容进行md5加密后,得到签名,放在http header;再进行http请求 分析:签名后得到的内容是请求头中的一个参数,所以需要在http请求前处理;这里需要用到bean shell 预处理程序 1、获取请求参数的body 2、将body进行md5加密后得到sign 3、将sign放入http header 4、运行http请求 这个签名是为了防止他人修改报文内容,而进行的加密...
PHP 如何开发第三方接口
w317499920的博客
05-09 532
的参数,验证 API key 是否有效,如果有效则返回当前时间,否则返回 401 错误码。开发第三方接口需要考虑安全性和可靠性,建议参考相关开发规范和最佳实践进行开发。这段代码实现了一个简单的 API,需要通过 GET 请求传入一个名为。
php远程下载网络资源,并支持传递header传参鉴权
l2x1314258的博客
04-14 136
【代码】php远程下载网络资源,并支持传递header传参鉴权
php获取不到自定义header参数原因详解
02-24
PHP开发中,有时我们需要通过HTTP头(Header)传递自定义信息,比如认证令牌、请求来源等。然而,有时我们可能会遇到PHP无法正确获取自定义Header参数的问题。本篇文章将详细解析这一问题,并提供解决方案。 首先...
PHP基于timestamp和nonce实现的防止重放攻击方案分析
10-16
主要介绍了PHP基于timestamp和nonce实现的防止重放攻击方案,简单讲述了重放攻击相关原理并结合实例形式分析了php使用timestamp和nonce实现的防止重放攻击相关操作技巧,需要的朋友可以参考下
PHP下利用header()函数设置浏览器缓存的代码
10-28
PHP编程中,header()函数是一个非常重要的工具,它允许我们向HTTP响应中添加自定义头部信息。在本文中,我们将深入探讨如何利用header()函数来设置浏览器缓存,以提高网页加载速度并减少服务器负载。 首先,了解...
解析mysql中UNIX_TIMESTAMP()函数与php中time()函数的区别
10-27
在处理时间数据时,MySQL的UNIX_TIMESTAMP()函数和PHP的time()函数都扮演着重要角色。本文将深入探讨这两个函数的区别和用法。 首先,MySQL的UNIX_TIMESTAMP()函数是一个内置的时间和日期函数,它能够将日期或时间...
phpheader增加keysigntimestamp,实现鉴权
qq_36264795的博客
09-22 568
签名可以使用加密算法(例如HMAC-SHA256)来生成,将请求参数和时间戳(Timestamp)等信息与密钥结合起来计算得到。然后,服务端使用相同的密钥和相同的算法来计算请求的签名,并与客户端提供的签名进行比较。通常,Key可以在每次请求中都包含在Header中,而SignTimestamp则需要针对每个请求进行计算。这只是一个简单的示例,实际应用中需要更多的安全性和错误处理机制。在PHP中,您可以通过在HTTP请求的Header增加KeySignTimestamp等信息来进行安全性鉴权
java通过sign签名+时间戳的方式防止rest接口被恶意抓包调用和重放
Ivan梦方舟的博客
07-26 1万+
做后端开发,避免不了要写接口,最开始我们写接口是为了满足实现具体的功能,能在客户端正常调用就行了,这种接口称为裸接口,就跟一个人没有穿衣服一样,我们在家的时候当然可以这么做,肆意放荡,这没关系,但是人总是要出门的,接触一些外人,这时候赤身裸体就不太好了吧。所有这时候我们要给自己穿上一件衣服。我们的接口也是一样的,一旦我们的接口上线暴露给外界了,必须要做一定的防护措施,给接口穿上“一件衣服”,避免一...
基于 HTTP Header 传输签名参数
新亮笔记
08-22 2511
概述调用方 向 接口提供方,申请调用 Key 和 Secret,用于生成签名。Key 为调用方身份标识Secret 为加密盐值加密盐值可以使用 1Password 在线生成,如下图。签名...
为什么要在http请求后加上时间戳
热门推荐
qzw5235641的博客
05-08 1万+
作用: URL 的末尾追加了时间。这就确保了请求不会在它第一次被发送后即缓存,而是会在此方法每次被调用后重新创建和重发;此 URL 会由于时间戳的不同而稍微有些不同。这种技巧常被用于确保到脚本的 POST 每次都会实际生成新请求且 Web 服务器不会尝试缓存来自服务器的响应。 时间戳是加在对controller发起请求的URL中。 如1解释的,在URL中加时间戳就会保证每一次发起的请求都是一个不同...
PHP面试题15】http 协议的 header 中常见的 key 及含义
GitHub质检员
09-14 169
HTTP协议的Header中包含了很多键值对,这些键值对描述了请求或响应的属性。在实际开发中,我们需要根据具体业务需求来使用这些Key。本文列出了一些常见的HTTP Key及其含义,希望对大家了解HTTP协议有所帮助。
nonce和timestamp在Http安全协议中的作用
yinhong2006的专栏
06-19 272
nonce和timestamp在Http安全协议中的作用 前段时间给客户网站做新浪微博账号登录功能,对OAuth协议以及相关的一些安全协议做了一些研究,顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了,而是针对OAuth请求头里的nonce(随机数)、timestamp(时间戳)、signatrue(签名)这些参数的作用做一下总结。 首先看一下HTTP规范里定...
php接口jwt,PHP之JWT接口鉴权(一)
weixin_33215370的博客
03-24 608
1.什么是JWTJSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。2.什么时候应该用到JWTAuthorization (授权) :这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登...
生成一个接口调用的java代码 四个参数AccessKey ,sign,timestamp,nonce的参数位置是QUERY HEADER是hsPartyId body是json
04-04
下面是一个简单的示例代码,用于调用一个API,其中AccessKeysigntimestamp和nonce作为查询参数,hsPartyId作为标头,JSON作为请求正文: ``` import java.io.BufferedReader; import java.io.InputStreamReader...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值