js请求php接口安全性,api接口安全策略 - 签名策略

最新推荐文章于 2024-05-17 05:09:22 发布
最新推荐文章于 2024-05-17 05:09:22 发布
阅读量553 收藏
点赞数
文章标签: js请求php接口安全性

安全概述

前面章节讲解的接口是裸露的、不安全的!使用post、get模拟可以轻松对api进行请求,最简单的攻击就可以瞬间完成近万会员的注册!

所以在进行api接口通讯的同时我们应该进行数据的验证工作!

加密原理及流程1、从服务器端获取一个唯一性的token,我们称之为 accessToken;

2、前端对accessToken进行随机性拆分及md5加密,产生签名(保存在本地存储中);

3、前端在与后端进行交互时传递签名;

4、后端接收数据是验证签名;

签名准备

1、在 commons 文件夹内创建1.1 md5.js //js md5 加密 [ 在课程内获取此 js文件 ]

1.2 sign.js // 签名函数

sign.jsvar md5 = require('./md5.js');

module.exports = {

sign : function(apiServer){

// 环境判断非uni环境不支持

if(!uni){return '...';}

// 连接服务器获取一个临时的accessToken

uni.request({

url: apiServer+'getAccessToken',

method: 'GET',

success: res => {

if(res.data.status != 'ok'){return ;}

var data = res.data.data;

// 对 accessToken 进行md5加密

var accessToken = md5.hex_md5(data.token + data.time);

// 签名 = md5(accessToekn + time) + '-' + 'accessToekn';

var sign = accessToken + '-' + data.token;

//console.log(sign);

// 记录在本地

uni.setStorage({

key:"sign",

data:sign

});

}

});

}

}

数据库DROP TABLE IF EXISTS `yuedu_access_tokens`;

CREATE TABLE `yuedu_access_tokens` (

`token` varchar(30) NOT NULL,

`time` int(11) DEFAULT NULL,

PRIMARY KEY (`token`)

) ENGINE=MyISAM DEFAULT CHARSET=utf8mb4;

php 端代码<?php

//getAccessToken.php

namespace hsC;

class getAccessToken{

public function index(){

$db = \hsTool\db::getInstance('access_tokens');

$token = array(

'token' => uniqid(),

'time' => time()

);

$db->add($token);

exit(jsonCode('ok', $token));

}

}

使用说明

在数据提交页面提交之前进行预签名,提交数据时携带此签名!

更合理的签名保存

因为大家后端基础不一样,本课程使用数据库保存了accessToken,更好的方式是 redis 或 memcache,可以设置变量有效期并能自动失效!

牛兆河
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php手写签名保存,PHP+JS实现PC端+移动端PDF手写签名合并
weixin_30029951的博客
04-06 1354
PHP+JS实现PC端+移动端PDF手写签名合并1年前阅读 3029评论 0喜欢 0前端插件:`jSignature.js`PHP插件:`FPDF+FPDI``index.html`代码:```html测试PDF手写签名html,body{padding: 0;margin: 0;width: 414px;overflow: hidden}input {padding: .5em;margin: ...
支付宝老版本接口1.0版本
12-03
此外,老版本接口可能不支持最新的功能和安全策略,例如二步验证、风险控制等,因此在使用1.0版本时,需要评估其是否能满足业务需求和安全标准。在更新迭代的过程中,支付宝可能会逐步淘汰旧接口,所以及时关注...
PHP——AES加解密 +SIGN校验唯一性安全性(Api)
weixin_39612508的博客
12-27 977
在这里插入图片描述 sign(客户端和服务端约定的加盟方式) 验签每次http请都放在header中 Header中放一些基础的参数 比如sign , version 版本号 , app_type 客户端类型 model:手机类型 小米 华为… sign如何生成? 1:AES对称加密算法 2:sign算法生成 2:sign的唯一性 (1)写入静态文件中 (2)写入mysql中 (3)...
微信小程序中使用md5加密
xuming1209的专栏
12-12 7860
微信小程序中有以下需求,密码需要md5加密后的密码。 请求参数 名称 必选/可选 类型 位置 说明 Content-Type 必选 String Header 消息体的媒体类型,必须为”application/json” account 必选 String Body 账号名称(用户名、手机号或邮箱) password 必选 String Body md5 加密的密码 ...
前端面试Vue 高频原理篇+详细解答,还有105道vue面试题集合
最新发布
2401_84097696的博客
05-17 973
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
js请求php接口安全性,javascript - 前端js的ajax 调用PHP写的API接口,如何卡主安全性,防止非法调用呢?...
weixin_39876645的博客
03-11 142
前端js的ajax 调用PHP写的API接口,如何卡主安全性,防止非法调用呢?回复内容:前端js的ajax 调用PHP写的API接口,如何卡主安全性,防止非法调用呢?我在一个WebAPP项目中遇到了题主的这个问题。由于API是为APP准备的,因此在WebAPP中使用ajax和api进行交互也不得不按照app与api交互时的使用习惯。在向api发出请求的时候,可能有两种情况,一种是用户登录,一种是未...
前后端分离api安全php,php前后端分离项目跨域问题
weixin_31684041的博客
03-10 301
php前后端分离项目跨域问题龙行PHP2020-1-1712142评论重点 后台用的session保存数据(项目非常非常小)遇到一个问题,前端调用登录api,访问其它api获取不到session的值,nullajax请求无法获取header、cookie等信息。但是后来发现有更方便的解决方法。jquery的ajax请求中可以设置下面两个参数,浏览器会自动帮你保存、发...
Thinkphp5:签到系统Vue前端tp5添加补充api接口
03-11
4. **签名机制**:为了确保API安全性,可能需要引入签名机制,防止数据被篡改。Thinkphp5支持签名验证,可以自定义生成和验证签名的规则。 5. **跨域请求**:由于Vue.js运行在浏览器环境中,不同源的API请求会受...
SendSms_调取阿里云短信接口脚本_
10-03
本项目中,"SendSms_调取阿里云短信接口脚本_" 是一个利用阿里云短信服务API实现批量发送短信的脚本。下面我们将深入探讨这个脚本的相关知识点。 1. **阿里云短信服务API**: 阿里云提供了丰富的SDK和HTTP API,...
开源淘宝API接口
08-14
压缩包中的`jquery.snippet.min.js`文件可能是一个JavaScript代码片段插件,尽管它不直接关联于淘宝API,但在前端展示数据时可能会用到。jQuery Snippet是一个轻量级的jQuery插件,用于高亮显示代码块,它可以帮助...
RSA:js加密,php解密
01-05
综上所述,"RSA:js加密,php解密"是一种常见的前后端通信安全保障策略,通过非对称加密技术提高数据传输的安全性。使用JavaScript加密客户端数据,PHP在服务器端解密,可以有效防止中间人攻击,保护用户隐私。
php+js实现rsa非对称加密,apicloud接口加密
07-26
在使用apicloud开发app的时候我们通常使用对称加密的方式,甚至不加密 只是通过https加密数据 ,但是依然风险很大,特别是对于关键数据的保护,账号密码支付密码等,此工具可以帮你实现全球最流行最安全的数据保障。
php app接口安全,app接口设计之安全性
weixin_36389335的博客
03-11 257
1. 什么是接口接口简单来说就是服务器端用来返回给其他程序或者客户端数据的桥梁2. 接口的作用根据固定参数返回固定数据3. API接口保障安全性原则1.有调用者身份2.请求的唯一性3.请求的参数不能被篡改4.请求的有效时间4. 接口安全需求1.最好必须启用HTTPS2.signature签名3.token登陆的唯一票据4.验证时间戳5.对要求安全性高的接口数据进行加密传输(aes+rsa)5. s...
js请求php接口安全性,前端js的ajax 调用PHP写的API接口,如何卡主安全性,防止非法调用呢?...
weixin_28686771的博客
03-11 230
我在一个WebAPP项目中遇到了题主的这个问题。由于API是为APP准备的,因此在WebAPP中使用ajax和api进行交互也不得不按照app与api交互时的使用习惯。在向api发出请求的时候,可能有两种情况,一种是用户登录,一种是未登录。无论哪一种情况,都可以采用下面的这种思路,但在使用token时使用不同的token即可。登录用户使用登录时服务端生成的带nonce的token,是唯一的,而未登...
javascript js调用php方法
丿灬安之若死
01-27 5907
实现功能 有一个按钮和一个输入框 输入框输入 按钮点击以后 执行php代码 百度了好久 发现还是表单提交最合理 &lt;div id="side-tab3"&gt; &lt;h2&gt;批量获取数据&lt;/h2&gt; &lt;p&gt;根据cid 获取所有商品名称&lt;/p&gt; &lt;form action..
前端常用到的一个JS签名加密算法改成PHP实现
h1126560716的博客
02-22 739
        该算法的作用是将一段字符串加密成32位加密串,类似MD5,很多网站都在用(像快手等),但实际参数可以改变,就像自定义的MD5。我也不是太懂算法,只是将JSphp实现,有不到之处还请谅解。        首先上JS代码: function g(a) { function b(a, b) { return a &lt;&lt; b | a...
java ajax post 跨域请求数据_js跨域请求数据的3种常用的方法
weixin_31446315的博客
02-27 608
由于js同源策略的影响,当在某一域名下请求其他域名,或者同一域名,不同端口下的url时,就会变成不被允许的跨域请求。那这个时候通常怎么解决呢,对此菜鸟光头我稍作了整理:1.JavaScript在原生js(没有jQuery和ajax支持)的情况下,通常客户端代码是这样的(我假设是在localhost:8080的端口下的http://localhost:8080/webs/i.mediapower.m...
js 调用php方法,js调用php文件的方法是什么
weixin_29096377的博客
03-09 718
js调用php文件的方法:首先新建一个php文件;然后使用【$cid_data】在文件php代码中顶部处理,代码为【$cid_data .= "'".$item['name']."'";】。js调用php文件的方法:实现功能有一个按钮和一个输入框 输入框输入 按钮点击以后 执行php代码百度了好久 发现还是表单提交最合理批量获取数据根据cid 获取所有商品名称获取$cid_data可以在文件php...
php环境中实现js请求,js如何实现发送http请求
weixin_29189003的博客
03-12 306
本文主要和大家分享js如何实现发送http请求,最简单的方法自然是jquery,但是有的网站并没有加载jquery的js,如果直接用控制台写代码就会报函数没有定义的错误,当然可以把 “http://code.jquery.com/jquery-1.11.1.min.js“文件中的内容复制到console,不过也可以用纯的javascript。$.get();$.post();//exampleva...
web前端-Web应用前端安全策略研究及应用.pdf
06-20
web前端-Web应用前端安全策略研究及应用.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值