php接口安全设计及实现

最新推荐文章于 2024-07-08 07:23:31 发布
最新推荐文章于 2024-07-08 07:23:31 发布
阅读量1.8k 收藏 17
点赞数 1
分类专栏: PHP api 文章标签: api接口安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28423997/article/details/86064843
版权
PHP 同时被 2 个专栏收录
27 篇文章 0 订阅
订阅专栏
api
1 篇文章 0 订阅
订阅专栏

php接口安全设计实现

接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:

(1)Token授权机制:(Token是客户端访问服务端的凭证)–用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。
(2)时间戳超时机制:(签名机制保证了数据不会被篡改)用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如5分钟),则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。
(3)签名机制:将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。

简单的实现了接口校验:登陆获取到token

    /**
     * 模拟登陆 分配随机token
     * @route('login')
     */
    public function login()
    {
        $data = $this->request->param();

       if( $data['name']=="luozhengbo" &&   $data['pass'] == "123456"){
           $id=1;
           $token= Cache::get('token'.$id);
           if(!$token){
               //15c3463ffb65d9
               $token =$id.uniqid();
               Cache::set('token'.$id,$token,'3*60');
           }
           return json($token);
       }else{
           return json('用户或密码不正确');
       }


    }

用php模拟客服端,登陆成功获得token 并生成随机数、时间戳、生成sign ,生成这些数据之后请求接口时,带上相应的参数过去进行鉴权,鉴权验签部分用的工具就不贴代码了。

//随机生成字符串
    private function createNonceStr($length = 8) {
        $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
        $str = "";
        for ($i = 0; $i < $length; $i++) {
            $str .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
        }
        return $str;
    }
    
      /**
     * @param $timeStamp 时间戳
     * @param $randomStr 随机字符串
     * @return string 返回签名
     * @route('checklogin')
     */
    public  function createSign($timeStamp='',$token='',$randomStr=''){
        $arr['timeStamp'] = $timeStamp;
        $arr['randomStr'] = $randomStr;
        $arr['token'] = $token;
        //按照首字母大小写顺序排序
        sort($arr,SORT_STRING);
        //拼接成字符串
        $str = implode($arr);
        //进行加密
        $signature = sha1($str);
        $signature = md5($signature);
        //转换成大写
        $signature = strtolower($signature);
        return $signature;
    }
 /**
     * @return mixed
     * @route('userlogin')
     */
    public function login()
    {
        $token = json_decode(httpGet("10.20.1.172/index.php/login/name/luozhengbo/pass/123456"),true);
        return $token;
    }
    
    /**
     * @route('getradmon')
     */
    public function getDataFromServer(){
        //时间戳
        $timeStamp = time();
        //随机数
        $randomStr = $this -> createNonceStr();
        //生成签名
        $token = $this->login();
        $signature = $this -> createSign($timeStamp,$token,$randomStr);
        dump($token);
        dump($timeStamp);
        dump($randomStr);
        dump($signature);
        die;
    }

接下来就是服务端鉴权代码,服务端拿到timestamp、token、sign、randomStr等参数进行验证过程

namespace app\index\controller;

use think\facade\Cache;
use think\facade\Config;
use think\Controller;
use think\facade\exception;
use think\Db;

class common extends  controller
{

    //限制访问
    protected $ip_limit =array(
        '10.20.1.60',
        '10.20.1.62',
        '10.20.1.61',
    );

    /**
     * 签名检验
     * @route('auth')
     *
     */
    public function checkAuth($token,$randomStr,$timestamp,$sign)
    {
        //参数判断
        if(empty($token)){
            exception('token不能为空','500');
        }
        if(empty($timestamp)){
            exception('时间戳不能为空','500');
        }
        if(empty($randomStr)){
            exception('随机字符串不能为空','500');
        }
        if(empty($sign)){
            exception('签名不能为空','500');
        }
        //检验token
        $tokenCheck = Cache::get('1token');
        if($tokenCheck != $token ){
            exception('token已经过期','500');
        }
        //时间校验
        $exprie = Config::get('app.expire');
        $timestamp1 = $timestamp+$exprie;

        if( $timestamp1<time() ){//过期
            exception('请求已经过期','500');
        }
        if(!$this->illegalip()){
            return json('ip限制访问');
        }
        //按规则拼接为字符串
        $str = $this->arithmetic($timestamp,$token,$randomStr);
        if($str != $sign){
            exception('验签错误','500');
        }
        if(!$this->ask_count()){
            return json('验签error');
        }
        return json('验签ok');

    }

    /**
     * @param $timeStamp 时间戳
     * @param $randomStr 随机字符串
     * @return string 返回签名
     */
    public function arithmetic($timeStamp,$token,$randomStr){
        $arr['timeStamp'] = $timeStamp;
        $arr['randomStr'] = $randomStr;
        $arr['token'] = $token;
        //按照首字母大小写顺序排序
        sort($arr,SORT_STRING);
        //拼接成字符串
        $str = implode($arr);
        //进行加密
        $signature = sha1($str);
        $signature = md5($signature);
        //转换成小写
        $signature = strtolower($signature);
        return $signature;
    }

    /**
     * @desc 限制请求接口次数
     * @return bool
     */
    private function ask_count(){
        $client_ip = getClientIp();
        $ask_url = getUrl();
        //限制次数
        $limit_num = Config::get('api_ask_limit');
        //有效时间内,单位:秒
        $limit_time = Config::get('api_ask_time');
        $now_time = time();
        $valid_time = $now_time - $limit_time;
        $valid_time = date('Y-m-d H:i:s',$valid_time);
        $now_time = date('Y-m-d H:i:s',$now_time);
        $ipwhere['ip_name'] = $client_ip;
        $ipwhere['ask_url'] = $ask_url;
        $check_result = Db::name('log_ip_ask')
            ->whereBetweenTime('creatime',$valid_time,$now_time)
            ->where($ipwhere)
            ->count();
        if($check_result !=='0'){
            if($check_result >= $limit_num){
                exception('已经超出了限制次数');
            }
        }
        //执行插入
        $add_data = array(
            'ip_name'=>$client_ip,
            'ask_url'=>$ask_url,
            'creatime'=>date('Y-m-d H:i:s',time())
        );
        $result = Db::name('log_ip_ask')->insert($add_data);
        if($result===false){
            exception('已经超出了限制次数');
        }
        return true;
    }

    /**
     * @desc 非法IP限制访问
     * @param array $config
     * @return bool
     */
    private function illegalip(){
        if( !$this->ip_limit ){
            return true;
        }
        $remote_ip = getClientIp();
        if(in_array($remote_ip, $this->ip_limit)){
              return false;
        }
        return true;
    }

    /**
     * 模拟登陆 分配随机token
     * @route('login')
     */
    public function login()
    {
        $data = $this->request->param();

       if( $data['name']=="luozhengbo" &&   $data['pass'] == "123456"){
           $id=1;
           $token= Cache::get('token'.$id);
           if(!$token){
               //15c3463ffb65d9
               $token =$id.uniqid();
               Cache::set('token'.$id,$token,'3*60');
           }
           return json($token);
       }else{
           return json('用户或密码不正确');
       }

    }

}

最后还有几个公用的方法和配置

 
    'expire'=>5*6000000,//api有效期
    'api_ask_limit'=>10,//api访问次数
    'api_ask_time'=>60,

common中的函数

/**
 * 获取客户端IP地址
 * @param integer $type 返回类型 0 返回IP地址 1 返回IPV4地址数字
 * @param boolean $adv 是否进行高级模式获取(有可能被伪装)
 * @return mixed
 */
function getClientIp($type = 0,$adv=false) {
    $type = $type ? 1 : 0;
    static $ip  =   NULL;
    if ($ip !== NULL) return $ip[$type];
    if($adv){
        if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
            $arr    =   explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
            $pos    =   array_search('unknown',$arr);
            if(false !== $pos) unset($arr[$pos]);
            $ip     =   trim($arr[0]);
        }elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
            $ip     =   $_SERVER['HTTP_CLIENT_IP'];
        }elseif (isset($_SERVER['REMOTE_ADDR'])) {
            $ip     =   $_SERVER['REMOTE_ADDR'];
        }
    }elseif (isset($_SERVER['REMOTE_ADDR'])) {
        $ip = $_SERVER['REMOTE_ADDR'];
    }
    // IP地址合法验证
    $long = sprintf("%u",ip2long($ip));
    $ip   = $long ? array($ip, $long) : array('0.0.0.0', 0);
    return $ip[$type];
}

/**
 * @desc php获取当前访问的完整url地址
 * @return string
 */
function getUrl() {
    $url = 'http://';
    if (isset ( $_SERVER ['HTTPS'] ) && $_SERVER ['HTTPS'] == 'on') {
        $url = 'https://';
    }
    if ($_SERVER ['SERVER_PORT'] != '80') {
        $url .= $_SERVER ['HTTP_HOST'] . ':' . $_SERVER ['SERVER_PORT'] . $_SERVER ['REQUEST_URI'];
    } else {
        $url .= $_SERVER ['HTTP_HOST'] . $_SERVER ['REQUEST_URI'];
    }
    return $url;
}
/**
 *
 * curl模拟get请求
 */
function httpGet($url){
    $curl = curl_init();
    //需要请求的是哪个地址
    curl_setopt($curl,CURLOPT_URL,$url);
    //表示把请求的数据已文件流的方式输出到变量中
    curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
    $result = curl_exec($curl);
    curl_close($curl);
    return $result;
}

以上还有可改进的地方,限制ip、次数等。大家有什么好的建议可以说一下。
参考:https://www.cnblogs.com/zouke1220/p/9394356.html

罗正波
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Thinkphp3.2.3通用后台+API接口设计
08-16
1.此项目是基于Thinkphp3.2.3+easyui做的权限管理系统,所有后台管理系统均可基于此项目开发。 2.项目集成php反射自动生成API文档,通过访问http://你的IP或者域名/文件地址/tpcs/index.php/Api/Doc/index.html即可。 3.数据库文件放于public目录下面,导入自己数据库修改common目录下的config数据库配置即可正常访问。 4.此项目纯属学习交流用途。
基于PHP的微信商城的设计实现样本.doc
12-15
这部分将深入讨论各个模块的具体设计,包括数据库表结构设计、前端页面布局、后端接口设计以及安全策略等,确保系统功能完整且运行流畅。 5. 系统实现与测试 在详细设计的基础上,使用PHP编程语言进行系统实现,...
php接口安全设计浅谈
weixin_30897079的博客
08-02 205
接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: (1)Token授权机制:(Token是客户端访问服务端的凭证)--用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说...
PHP接口安全性例子及深度探讨
最新发布
A150922923282的博客
07-08 239
在Web应用中,接口通常是与前端交互的桥梁,负责处理前端发送的请求并返回相应的数据。应对策略:对用户输入进行严格的验证和过滤,确保输入数据的合法性和安全性。随着Web技术的快速发展,PHP作为一种广受欢迎的服务器端脚本语言,其接口安全性问题愈发受到关注。在PHP接口中,如果未对用户输入进行严格的验证和过滤,就可能导致SQL注入攻击。按理说应该是如此,对PHP代码进行定期的安全审计和漏洞扫描,确保代码的安全性。开发者应重视接口安全性问题,并采取有效的安全策略来保障接口安全性。
php 接口安全解决方案,php接口数据安全解决方案(一)
weixin_39756273的博客
03-10 149
前言目的:1.实现前后端代码分离,分布式部署2.利用token替代session实现状态保持,token是有时效性的满足退出登录,token存入redis可以解决不同服务器之间session不同步的问题,满足分布式部署3.利用sign,前端按照约定的方式组合加密生成字符串来校验用户传递的参数跟后端接收的参数是否一直,保障接口数据传递的安全4.利用nonce,timestamp来保障每次请求的生成s...
一套PHP做app接口的解决方案
热门推荐
AndyLizh的专栏
09-10 3万+
服务端用php+mysql给ios的app客户端做一套api,需要怎么去考虑和实现安全性方面的问题?服务端这边预先设定了一个appid和一个appkey给到了客户端的开发者,接口可以使用http或者https方式请求(最好可以使用http)方式! 处于安全考虑,应当在传值的时候加个验证字段,比如...?token=wedwdwfwf,将token值进行判断后再决定是否给予返回值,你还可以
php接口安全
qq_43748417的博客
04-25 904
php接口安全浅谈:https://www.cnblogs.com/zouke1220/p/9394356.html Laravel Repository (仓库模式) https://www.cnblogs.com/Stone--world/p/4756043.html sql注入的防范:https://www.cnblogs.com/wanzhongjun/p/6406268.html sq...
基于PHP与JavaScript的安全私有聊天软件设计实现
04-13
在本文中,我们将深入探讨如何设计实现一个基于PHP与JavaScript的安全私有聊天软件。这两种技术结合使用,能够创建一个高效、用户友好的实时通信平台,同时确保数据传输过程中的安全性。 首先,PHP(Hypertext ...
基于php的房产公司网站的设计实现.zip
03-20
这可能用于后端服务的构建,如API接口设计实现。 SSM是指Spring、SpringMVC和MyBatis的组合,是Java Web开发中常用的三大框架。Spring负责整体的依赖注入和事务管理,SpringMVC处理HTTP请求和响应,MyBatis则...
毕业设计:基于PHP实现的商城系统.zip
11-16
总的来说,这个基于PHP的商城系统毕业设计涵盖了Web开发的多个方面,从编程语言到系统架构,从数据库设计安全优化,全面锻炼学生的实践能力和问题解决能力。通过完成这样的项目,学生不仅能深入理解PHP编程,还能...
php 接口安全解决方案,PHP 接口数据安全解决方案 (一)
weixin_35652131的博客
03-10 249
PHP 接口数据安全解决方案 (一)前言目录介绍登录鉴权图接口请求安全性校验整体流程图代码展示演示用户登录演示获取用户信息文章完整代码地址后记前言目的:1. 实现前后端代码分离, 分布式部署2. 利用 token 替代 session 实现状态保持, token 是有时效性的满足退出登录, token 存入 Redis 可以解决不同服务器之间 session 不同步的问题, 满足分布式部署3. 利...
PHP API请求安全效验
01-28
PHP开发API接口请求前后端效验,附带源码,ThinkPHP开发,伸手党可直接复制粘贴上路
微信小程序-API接口安全详解
10-16
主要介绍了微信小程序-API接口安全详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
php接口数据安全解决方案(一)
weixin_30462049的博客
06-15 201
前言 目录介绍 登录鉴权图 接口请求安全性校验整体流程图 代码展示 演示用户登录 演示获取用户信息 文章完整代码地址 后记 前言 目的: 1.实现前后端代码分离,分布式部署 2.利用token替代session实现状态保持,token是有时效性的满足退出登录,token存入redis可以解决不同服务器之间session不同步的问题,满足分布式部署 3.利用sign,前端按照约定的方式组合加密...
API接口安全方案
weixin_43910920的博客
08-29 642
概述:API数据交互采用非对称加密。由服务端生成公钥和私钥,前端通过接口获取到生成的公钥,私钥由服务端保存。一般在比较大的版本升级的时候,才会获取一次公钥和私钥。接口通讯的数据安全主要由以下几个参数保证: token:在前端点击登录的时候,前端首先将用户名(username),密码(公钥加密后),deviceId,loginTime发送给server. server校验登录成功只会根据user...
PHP接口数据安全解决方案(一)
withoutfear的博客
10-08 905
前言 目录介绍 登录鉴权图 接口请求安全性校验整体流程图 代码展示 演示用户登录 演示获取用户信息 文章完整代码地址 后记 前言 目的: 1.实现前后端代码分离,分布式部署 2.利用token替代session实现状态保持,token是有时效性的满足退出登录,token存入redis可以解决不同服务器之间session不同步的问题,满足分布式部署 3.利用sign,前端按照约定的方式组合加密生成字符串来校验用户传递的参数跟后端接收的参数是否一直,保障接口数据传递的安全 4.利用no
PHP开发中保证接口安全
迟迟 CSDN
02-27 1万+
模拟客户端请求:&lt;?php namespace Home\Controller; use Think\Controller; class ClientController extends Controller{ const TOKEN = 'API'; //模拟前台请求服务器api接口 public function getDataFromServer(){ ...
php api接口安全设计 sign理论
weixin_34268753的博客
08-01 194
一. url请求的参数包括:timestamp,token, username,sign 1. timestamp: 时间戮 2. token: 登陆验证时,验证成功后,生成唯一的token(可以为uuid),并把token储存到缓存(redis)里 ,键为username,值为token 3. username: 用户名,保证唯一 4. sig...
安全php_API接口开发安全性,你是如何解决的
weixin_39598954的博客
01-14 97
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口安全性问题尤为重要,本篇文章我们就来聊聊关于API接口安全性。所谓接口,服务器端直接根据user_id来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值