PHP API 接口访问之签名验证

最新推荐文章于 2024-06-06 13:16:34 发布
最新推荐文章于 2024-06-06 13:16:34 发布
阅读量5 收藏
点赞数
文章标签: php 状态模式 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013061558/article/details/137282648
版权

设计思路:1、前后端商定统一的加密规则;2、后端配置文件保存固定的验证字符串;3、对前端传的加密sign进行合法性验证、时效验证、唯一性验证;

代码如下:

        1、验证前端传过来的sign(抛出异常的接口是我自己框架封装的接口,没封装可以改成Exception)

<?php
/**
 * Created by PhpStorm.
 * User: hjx(2896751917@qq.com)
 * Date: 2019/2/21
 */

namespace app\api\controller;


use app\common\lib\exception\ApiException;
use app\common\lib\extend\Aes;
use think\Cache;
use think\Controller;
use think\Request;

class Common extends Controller
{
    protected $apiToken = null;

    public function __construct(Request $request = null)
    {
        parent::__construct($request);
        $this->verifyToken();
    }

    /**
     * 访问API时进行sign验证
     * @return bool
     * @throws ApiException
     */
    public function verifyToken() {
        $data = input('param.');

        $validate = validate('Common');
        if(!$validate->check($data)) {
            throw new ApiException($validate->getError(), 400);
        }

        $str = (new Aes())->decrypt($data['sign']);
        if(!$str) {
            throw new ApiException('sign不合法', 401);
        }

        list($t1,$t2) = explode('&',$str);
        //sign失效时间
        if(time() - $t1 > 600) {
            throw new ApiException('sign已过期', 401);
        }
        //验证规则
        if($t2 != config('api.CorpId')) {
            throw new ApiException('sign不合法', 401);
        }
        //验证sign唯一性
        if(Cache::get($data['sign'])) {
            throw new ApiException('sign已使用过', 401);
        }

        Cache::set($data['sign'],1,3600);

        return true;
    }

}

  2、各个控制器都继承上面的Common控制器即可


 3、后台加密规则

<?php
/**
 * Created by PhpStorm.
 * User: hjx
 * Date: 2019/3/12
 * Time: 10:41
 */

namespace app\api\controller;

use app\common\lib\extend\Aes;

class Test
{
    /**
     * token创建规则,以后前端得按照这个规则进行
     * @return \app\common\lib\extend\HexString
     */
    public function createToken() {
        $str = time().'&'.config('api.CorpId');
        return (new Aes())->encrypt($str);
    }
}

  后台加密只是示例的加密规则,可以给前端按照这种加密方式进行加密得到sign

程序员-大雄
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php开发api接口教程,PHP开发api接口
weixin_39568172的博客
03-10 688
推荐:《PHP视频教程》phpapi接口在实际工作中,使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证验证原理示意图原理从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。时间戳:当...
PHP开发api接口安全验证的实例讲解
12-18
使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口...
php访问信息签名,PHP API 接口访问签名验证
weixin_39551996的博客
04-02 162
设计思路:1、前后端商定统一的加密规则;2、后端配置文件保存固定的验证字符串;3、对前端传的加密sign进行合法性验证、时效验证、唯一性验证;代码如下:1、验证前端传过来的sign(抛出异常的接口是我自己框架封装的接口,没封装可以改成Exception)/*** Created by PhpStorm.* User: hjx(2896751917@qq.com)* Date: 2019/2/21*...
php api接口验证,PHP开发api接口安全验证
weixin_31411313的博客
03-09 228
phpapi接口在实际工作中,使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证验证原理示意图原理从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。时间戳:当前时间随机数:随机生成的...
PHP 开发API接口签名验证
Winn的程序世界
06-24 293
就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床。所谓man-in-the-middle攻击简单讲就是指恶意的黑客可以在客户端和服务器端的明文通信通道上做手 脚,黑客可以监听通信内容,偷取机密信息,甚至可以篡改通信内容,而通过加密后的通信内容理论上是无法被破译的。 URL签名生成规...
android 常用api 接口签名验证
u013296766的博客
12-15 2698
android 常用api 接口签名验证
PHP开发api接口安全验证
逍遥游的博客
07-11 1005
接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: (1)Token授权机制:(Token是客户端访问服务端的凭证)–用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请...
api加密 验证PHP,PHP开发api接口安全验证步骤详解
weixin_39747721的博客
03-10 220
这次给大家带来PHP开发api接口安全验证步骤详解,PHP开发api接口安全验证的注意事项有哪些,下面就是实战案例,一起来看一下。phpapi接口在实际工作中,使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使...
android怎么加签名验证,android 常用api 接口签名验证
weixin_32252533的博客
05-29 843
从登录注册说起该验证的全部过程:1.android 登录时一般是这样: loginData.put("name", userNameText.toString());loginData.put("password", passWordText.toString());loginData.put("platform", "android");//同步方式try {//调用登录接口网络请求JSONOb...
php开发api接口安全验证
ECHO陈文的博客
01-08 670
在开发小程序,APP,或者公众号等其他应用的时候,经常用到api接口来回传递数据,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 原理 时间戳:当前时间 随机数:随机生成的随机数 口令:前后台开发时,一个双方都知道的标识,相当于暗号 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。 前台生成一个签名,当需要访...
Discuz新秀网络验证系统-GBK-ver5.2 - 2020.2.13
02-13
文件验证:本框架通过自定义客户端md5签名验证,确保客户端文件的完整性,有效防止对文件的破解、更改; 收费模式:扣点模式、购买用户组模式、计时扣费模式; 充值功能:结合discuz框架内置充值、充值卡功能,对...
Discuz新秀网络验证系统-UTF8-ver5.2 - 2020.2.13
02-13
文件验证:本框架通过自定义客户端md5签名验证,确保客户端文件的完整性,有效防止对文件的破解、更改; 收费模式:扣点模式、购买用户组模式、计时扣费模式; 充值功能:结合discuz框架内置充值、充值卡功能,对...
toopher-php:Toopher Web服务APIPHP绑定
05-22
ToopherAPI PHP客户端介绍ToopherAPI PHP客户端简化了从PHP代码与Toopher API接口的任务。 该项目包括所有依赖项库,并处理必需的OAuth和JSON功能,因此您可以专注于仅使用API​​。了解Toopher API 确保您访问以...
PHP和MySQL Web开发第4版pdf以及源码
10-13
6.10.10 使用Reflection(反射)API 6.11 下一章 第7章 错误和 异常处理 7.1 异常处理的概念 7.2 Exception类 7.3 用户自定义异常 7.4 Bob的汽车零部件商店应用程序的异常 7.5 异常和PHP的其他错误处理机制 ...
【全开源】旅游门票预订系统(FastAdmin+ThinkPHP+Uniapp)
2401_84413757的博客
06-03 262
一款基于FastAdmin+ThinkPHP+Uniapp开发的旅游门票预订系统,支持景点门票、导游产品便捷预订、美食打卡、景点分享、旅游笔记分享等综合系统,提供前后台无加密源码,支持私有化部署。 ​便捷你的每一次出行🌍 🌟 轻松预订,说走就走 🎒 每当计划一场旅行,最让人头疼的莫过于门票的预订。传统的排队购票不仅浪费时间,还可能因为售罄而错过心仪的景点。而现在,有了旅游门票预订系统,一切变得简单而高效。📱只需动动手指,就能轻松预订心仪的景点门票,说走就走,不再受时间和地点的限制。 🌈 全面覆盖,任
文件包含漏洞
大河之犬的博客
06-02 701
当用户以某种方式控制即将由服务器加载的文件时,就会出现漏洞。远程文件包含(RFI): 从远程服务器加载文件。在php中,默认情况下禁用此功能(本地文件包含(LFI): 服务器加载本地文件PHP 过滤器允许在数据被读取或写入之前执行基本的修改操作。有 5 类过滤器:1、字符串过滤器string.strip_tags: 从数据中删除标签(位于 “” 字符之间的所有内容)2、转换过滤器:转换为不同的编码(iconv -l滥用。
LAMP架构与搭建论坛
weixin_56770318的博客
05-31 1347
中间连接PHP/Prel/Python:作为三种开发动态网页的编程语言,负责解释动态网页文件,负责沟通Web服务器和数据库系统以协同工作,并提供Web应用程序的开发和运行环境。它是一个开源、可扩展的Web服务器,被广泛应用于互联网上的网站。5、DDEFAULT_COLLATION:指定默认使用的字符集校对规则,utf8_general_ci 是适用于 UTF-8 字符集的通用规则。-DMYSQL_UNIX_ADDR=/tmp/mysql.sock MySQL进程间通信的套接字的位置。
jenkins插件之Jdepend
最新发布
made4971的博客
06-06 192
JDepend插件是一个为构建生成JDepend报告的插件。
PHP实现API接口签名验证
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值