php 签名验证apikey

最新推荐文章于 2022-04-15 09:44:29 发布
最新推荐文章于 2022-04-15 09:44:29 发布
阅读量419 收藏
点赞数
文章标签: 签名验证 php签名验证 php apikey
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35935748/article/details/102550358
版权 
<?php

// 获取sign(客户端的通过私钥签名)
function getSign($secret,$array) {
    ksort($array);
    $requestString = '';
    foreach ($array as $k => $v) {
        if(!is_array($v)){
            $requestString .= $k . '=' . $v;
        }
    }
    $requestString = strtolower($requestString);
    $newSign = hash_hmac('sha256', $requestString, $secret);
    return $newSign;  //返回得到的签名
}


//后台验证,签名是否是否一致
function verifySign($secret, $data) {
    // 验证参数中是否有签名
    if (!isset($data['sign']) || !$data['sign']) {
        return '发送的数据签名不存在';
    }
    if (!isset($data['timestamp']) || !$data['timestamp']) {
        return '发送的数据参数不合法';
    }
    // 验证请求, 10分钟失效
    if (time() - $data['timestamp'] > 600) {
//        return '验证失效, 请重新发送请求';
    }
    $sign = $data['sign'];
    unset($data['sign']);
    ksort($data);
    $params = '';
    foreach ($data as $k => $v) {
        if(!is_array($v)){
            $params .= $k . '=' . $v;
        }
    }
    $params = strtolower($params);
   
    // $secret是通过key在api的数据库中查询得到
    $newSign = hash_hmac('sha256', $params, $secret);
    if ($sign == $newSign) {
        return '验证通过';
    } else {
        return '请求不合法';
    }
}


$secret = "73c887dc2c20d5cefe"; //私钥,要保持到数据库中的  
$data = array(
    "publicKey" => "690d996f59d6ef192",  //公钥 用来的查询对应数据库的私钥
    "username" => "token123",
    "password" => "www123123",
    "sex" => "1",
    "addr" => "zhongguo",
    "timestamp" => "1570690257",
);

//先通过publicKey 去数据库中找到secret (私钥) ,这里我就直接定义到这里了

$data['sign']=getSign($secret, $data);   //data 通过私钥得到一个签名,把这个签名加入data 然后去验证码签名是否一致 如果一致表示ok 
//echo $data['sign'].PHP_EOL;

$info=verifySign($secret,$data);
var_dump($info);
evan@ztg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 签名开发,BOS签名算法的PHP demo
weixin_28518991的博客
03-18 198
为什么要写这篇文档,大多数的用户肯定深有体会,就是BCE的那套API文档太晦涩了,亲们,没图没demo啊,有么有?既然有PHP SDK了,为什么还要写这个签名算法?因为我只会点PHP签名算法的思路是一样的,只要PHP的demo出来了,C#的还难吗?IOS的还难吗?下面我就结合demo,来讲一下这个认证字符串到底该怎么生成。以码农的思维,咱们就拿代码来说事,不说那一大堆解释了,各位看官看注释就好了...
phpapi开发 关键key 的加密问题
min18的专栏
06-24 396
这个问题不会解决,该如何加密。
publicKey验证php的简单实现
weixin_33883178的博客
11-15 157
RT 转载于:https://blog.51cto.com/41651518/1060406
php私有方法公保护,php-保护私有API密钥
weixin_42191359的博客
03-25 103
因此,我一直在搜索整个私有API密钥的安全性,我对应该采取的方法感到困惑,因为我还没有找到与我的问题/方法相同的人.我正在开发一个可通过第三方API工作的Android应用,该API通过请求私钥获得了访问权限.现在,有2分:>我的应用程序不直接请求使用的API,而是请求一组我编码的PHP文件(托管在应用程序网站上),以简化请求并从使用的API中检索数据,如果允许的话,让我们称之为“某种API...
php api是什么东西,PHPAPI是什么呢?
weixin_42629671的博客
04-13 317
API的全称为Application Programming Interface,中文叫应用程序编程接口,是指一些预先定义的函数。API就是操作系统留给应用程序的一个调用接口,应用程序通过调用操作系统的API而使操作系统去执行应用程序的命令(动作)。PHP API的话是PHP开发平台集成的一些PHP的函数库,说白了就是一堆写好的东西让你来使用,好帮助你快速的进行PHP程序的开发。目的是提供应用程序...
PHP开发API接口签名生成及验证操作示例
10-15
签名验证方法与生成类似,但主要在于比较接收的签名值与重新计算的签名值是否一致。如果一致,说明数据未被篡改;如果不一致,则可能存在安全问题。 以下是PHP代码实现签名生成和验证的示例: ```php // 设置公钥...
PHP生成腾讯云COS接口需要的请求签名
10-18
**请求签名** 是在调用COS API时,按照特定算法生成的一串字符串,用于验证请求者的身份。它包含了如下的关键信息: 1. **q-sign-algorithm**:签名算法,目前仅支持`sha1`。 2. **q-ak**:账户ID,即用户的...
PHP API请求安全效验
01-28
本主题将深入探讨如何使用PHP(特别是ThinkPHP框架)进行API请求的安全验证。以下是一些关键知识点: 1. **请求认证**:在API接口前设置认证机制,如API Key、OAuth2或JWT(JSON Web Tokens)。API Key是最基础的...
php阿里大鱼发送短信api实例.rar
09-19
PHP中集成阿里大鱼发送短信API,可以方便地为网站或应用程序添加短信验证功能,提高用户账户的安全性和用户体验。下面将详细介绍如何在PHP环境中使用阿里大鱼发送短信的API。 首先,你需要在阿里云官网注册账号并...
php调用淘宝开放API实现根据卖家昵称获取卖家店铺ID的方法
12-18
签名用于验证请求的合法性。 2. `createStrParam()` 函数用于组装请求参数,将参数数组转化为URL查询字符串,每个键值对都进行URL编码。 3. `getXmlData()` 函数用于解析返回的XML数据。它使用`simplexml_load_...
php 做一个签名验证
qq_35646802的博客
03-17 562
public function getSign($args = []) { $timestamp = time(); $params = [ 'timestamp' => $timestamp, ]; $params += $args; $signs = (new Sign())->signature($params); return $signs; } class Sign { // 测试秘钥 protec.
API常用签名验证方法(PHP实现)
JiaSureZ的博客
05-14 332
使用场景 现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。 API签名验证 这里我们引入业内比较通用的签名验证来对接口进行参数加密,有以下优势。 请求的唯一性:计算出的签名是唯一的,可以用来验证。 参数的可变性:参数中包含时间戳参数,这就保证每次的请求计算出得签名都是不一样的。 请求的时效:由于请求中带有当前发起请求的时间戳参数,
PHP中一种sign计算方法
weixin_30765475的博客
02-20 231
一言不合上代码......... 1 <?php 2 function getsign($data,$key){ 3 $key=MD5("KEY_".$key."_K"); 4 $sign=MD5(MD5($key.$data)); 5 return $sign; 6 7 } 8 9 echo "?u=123456&p=".getsign("test123"...
php 如何验证token
CSDN 分享刚编的总结
01-08 482
生成一个请求url <?php $key = 'key'; //秘钥 ,非常重要,不参与url传输、秘钥泄露将导致token验证失效 $data['time'] = time(); $data['data'] = 'data'; $data['token']= md5( md5($key) . md5($data['time']) ); // 拼接url $url = 'doma...
PHP签名生成通用步骤
guoshuaiang的博客
03-31 1050
记录学习算法签名的一刻 签名生成的通用步骤
PHP中将长链接转换为短链接的API接口及方法
robin_sky的博客
01-17 895
话不多说,直接上代码 //生成网址的接口 /** * [shortenSinaUrl 短网址接口] * @param [integer] $long_url 需要转换的网址 * @return [string] [返回转结果] * @author king */ private function sho...
开放 API 接口签名验证
yonhu123java的博客
09-09 1694
1. 接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一 AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 重放攻击 虽然解决了请求参数被篡改的隐患,但是还存在着重复使用请求参数伪造二次请求的隐患。 timestamp+nonce方案 nonce指唯一的随机字符串,用来标识每个被签名的请求。通过为每个请求提供一
API身份验证和授权介绍
热门推荐
weixin_42646630的博客
04-15 1万+
一、前言 用户通常需要注册API KEY或者其他验证方法,才能使用你的服务,一般我们会用到一下集中验证方式 API Keys Basic Auth HMAC OAuth 身份验证:指证明正确的身份, 授权: 允许的动作 API可能会对您进行身份验证,但未授权您发出特定的请求 API缺乏安全性的后果 为什么API需要身份验证API没有安全性,用户可以任意注册即可无限次访问和调用API,且没有请求与特定用户数据关联的简单方法,就无法防止恶意用户的恶意请求等。 二、API Key
php抓取sign_php抓取页面的几种方法详解
weixin_33661631的博客
03-08 240
在 做一些天气预报或者RSS订阅的程序时,往往需要抓取非本地文件,一般情况下都是利用php模拟浏览器的访问,通过http请求访问url地址, 然后得到html源代码或者xml数据,得到数据我们不能直接输出,往往需要对内容进行提取,然后再进行格式化,以更加友好的方式显现出来。下面简单说一下php抓取页面的几种方法及原理:一、 PHP抓取页面的主要方法:1. file()函数2. file_get_c...
PHP实现API接口签名验证
最新发布
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串。 2. 将待签名字符串和应用程序的appsecret进行拼接,然后通过哈希算法(如SHA1或MD5)计算得到签名值。 3. 将签名值作为参数(通常是sign或signature)添加到原有的请求参数中,然后发送请求。 4. 服务器接收到请求后,按照同样的方式计算签名,将计算出的签名值与请求中的签名值进行比对,如果一致则认为请求合法,否则认为请求不合法。 以下是一个简单的示例代码: ```php <?php // 定义应用程序的appsecret $appsecret = "your_app_secret"; // 获取请求参数 $params = $_POST; // 按照参数名进行字典排序 ksort($params); // 将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串 $sign_str = ""; foreach ($params as $key => $value) { $sign_str .= $key . "=" . $value . "&"; } $sign_str .= "appsecret=" . $appsecret; // 计算签名值 $sign = md5($sign_str); // 验证签名 if ($sign != $params['sign']) { // 签名验证失败 echo "Invalid Signature"; } else { // 签名验证成功 // 执行业务逻辑 } ?> ``` 在实际应用中,为了增加安全性,可以使用更加复杂的签名算法,如RSA数字签名等。另外,还可以限制请求的时间戳和nonce值,防止重放攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值