php接口签名验证

最新推荐文章于 2021-04-09 16:21:05 发布
最新推荐文章于 2021-04-09 16:21:05 发布
阅读量133 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/chriiess/p/9165949.html
版权

在做一些api接口设计时候会遇到设置权限问题,比如我这个接口只有指定的用户才能访问。
很多时候api接口是属于无状态的,没办法获取session,就不能够用登录的机制去验证,那么
大概的思路是在请求包带上我们自己构造好的签名,这个签名必须满足下面几点:
a、唯一性,签名是唯一的,可验证目标用户
b、可变性,每次携带的签名必须是变化的
c、时效性,具有一定的时效,过期作废
d、完整性,能够对数据包进行验证,防止篡改

直接看下面代码

<?php

// 设置一个公钥(key)和私钥(secret),公钥用于区分用户,私钥加密数据,不能公开
$key = "c4ca4238a0b923820dcc509a6f75849b";
$secret = "28c8edde3d61a0411511d3b1866f0636";

// 待发送的数据包
$data = array(
    'username' => 'abc@qq.com',
    'sex' => '1',
    'age' => '16',
    'addr' => 'guangzhou',
    'key' => $key,
    'timestamp' => time(),
);

// 获取sign
function getSign($secret, $data) {
    // 对数组的值按key排序
    ksort($data);
    // 生成url的形式
    $params = http_build_query($data);
    // 生成sign
    $sign = md5($params . $secret);
    return $sign;
}

// 发送的数据加上sign
$data['sign'] = getSign($secret, $data);

/**
 * 后台验证sign是否合法
 * @param  [type] $secret [description]
 * @param  [type] $data   [description]
 * @return [type]         [description]
 */
function verifySign($secret, $data) {
    // 验证参数中是否有签名
    if (!isset($data['sign']) || !$data['sign']) {
        echo '发送的数据签名不存在';
        die();
    }
    if (!isset($data['timestamp']) || !$data['timestamp']) {
        echo '发送的数据参数不合法';
        die();
    }
    // 验证请求, 10分钟失效
    if (time() - $data['timestamp'] > 600) {
        echo '验证失效, 请重新发送请求';
        die();
    }
    $sign = $data['sign'];
    unset($data['sign']);
    ksort($data);
    $params = http_build_query($data);
    // $secret是通过key在api的数据库中查询得到
    $sign2 = md5($params . $secret);
    if ($sign == $sign2) {
        die('验证通过');
    } else {
        die('请求不合法');
    }
}
?>

转载于:https://www.cnblogs.com/chriiess/p/9165949.html

weixin_30480075
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP开发API接口签名生成及验证
qq_25285531的博客
03-05 765
开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 我们在设计签名验证的时候,请注意要满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效,过期作废等。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 一、签名参数sign生成的方法 第1步...
php接口api数据签名及验签
最新发布
php-yyds
11-17 744
api数据签名作用:通过使用签名可以验证数据在传输过程中是否被篡改或修改。接收方可以使用相同的签名算法和密钥对接收到的数据进行验证,如果验证失败则表明数据被篡改过
使用md5进行加密解密
qq_36389107的博客
11-01 1748
常规加密
php http_build_query来路,php中http_build_query 函数用法详解
weixin_42303522的博客
03-10 668
php中http_build_query函数是一个被大多数据程序员看忘记的函数,就我现在都不知道http_build_query的作用,下面我给大家分享一篇文章一起来学习学习吧。具体方法当我们使用CURL来post数据的时候,需要设置post的数据curl_setopt($c, CURLOPT_POSTFIELDS, $post_data);假如这里的$data是$data = array('n...
php 做一个签名验证
qq_35646802的博客
03-17 562
public function getSign($args = []) { $timestamp = time(); $params = [ 'timestamp' => $timestamp, ]; $params += $args; $signs = (new Sign())->signature($params); return $signs; } class Sign { // 测试秘钥 protec.
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
php接口数据加密、解密、验证签名
10-24
总结一下,PHP接口数据加密、解密、验证签名涉及到的关键知识点有: 1. 对称加密:如AES,用于在服务端和客户端之间快速加密和解密数据。 2. 非对称加密:如RSA,用于公钥加密和私钥解密,以及签名验证。 3. 签名...
PHP开发api接口安全验证操作实例详解
10-15
首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算...
API接口对接生成签名验证签名
11-01
API接口生成签名验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
php 签名验证方法
༺墨༒眉༻
04-09 589
$a1=array("red","green","blue","yellow"); $a2=array("red","green","blue1"); /** * Array ( [data] => Array ( [0] => red [1] => green [2] => blue [3] => yellow ) [sign] => 2308BCF74D35E6A0A2AAE25ADD85EE51 ) */ $res = createKSortSign($.
timestamp变成Xtamp的解决办法
Eric's Blog
09-11 3693
php发送json数据时,传了一个timestamp,数据可以正常发送,但是当用浏览器直接输出时,却变成了Xtamp,原因及解决办法如下:原因——-&times被解析,解决办法—–将timestamp放到json数组的第一位,保证前边不会有&就可以了。
Hibernate乐观锁实现之Timestamp
我的世界我的梦
12-12 2847
通过在表中及POJO中增加一个Timestamp字段来表示记录的最后更新时间,来达到多用户同时更改一条数据的冲突,这个timestamp由数据库自动添加,无需人工干预数据库结构: create table studentTimestamp(id varchar(32),name varchar(32),lastUpdateDateTime timestamp not null de
php中浏览器自动把&timestamp显示成×tamp的问题
xf-阿飞大大
07-03 1800
在给合作公司提供接口的时候,公共参数中有timestamp这个参数,接口编写的过程中在生成签名的时候发现*&timestamp=*变成了*×tamp=*,这种问题是因为浏览器把&timestamp转义了,现在提供两种解决办法: 1.把timestamp放到所有参数的第一位 2.把**&**改为**&amp;** ...
http_build_query应用
Rodgexue的专栏
12-04 3256
<?php $data = array('foo', 'bar', 'baz', 'boom', 'cow' => 'milk', 'php' =>'hypertext processor');echo http_build_query($data); /* 输出: 0=foo&1=bar&2=baz&3=boom&cow=milk&php=hypertext+processor */
后端限流php,[PHP高可用后端]②⑤--sign校验
weixin_31528001的博客
04-08 184
image.pngapp.php/*** Created by PhpStorm.* User: tong* Date: 2017/11/20* Time: 11:43*/return ['password_pre_halt' => '_#sing_ty',//密码加密言'aeskey' => 'sgg45747ss223455',//aes密钥,服务端和客户端必须保持一致'appty...
php 图片签名_php 生成签名验证签名详解
weixin_33610601的博客
03-09 281
这篇文章主要介绍了php 生成签名验证签名详解的相关资料,需要的朋友可以参考下php 生成签名验证签名/*** 根据原文生成签名内容** @param string $data 原文内容** @return string* @author confu*/function sign($data){$filePath = 'test.p12';if(!file_exists($filePath))...
php 签名验证
liuqun of program life
12-11 543
传到其他系统的参数,按照字母顺序排序,参数拼接后加token生成签名 下游系统接收参数,用相同的token和参数拼接后生成,对比是否相同,相同进行下一步操作,否则抛出异常。对称加密 /** * @param $param * @param string $strSecretKey * @return bool|string * 生成签名 *...
app Sign(签名)认证
php小松
07-29 5470
有个兄弟在群(136351212)里问,有人在恶意调用app里的短信接口,主要是在app上而且是原生的代码,没有办法在app上限制或者让用户更新app,只能从服务端限制ip的方式来处理,我给出的方法是,一个ip能30分钟内只能调用短信接口几次。 这就引出app与服务端接口安全的问题了 上面的兄弟估计没有带安全认证直接get或post接口 如:http://www.phpsong.com/?参数1=
PHP实现API接口签名验证
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串。 2. 将待签名字符串和应用程序的appsecret进行拼接,然后通过哈希算法(如SHA1或MD5)计算得到签名值。 3. 将签名值作为参数(通常是sign或signature)添加到原有的请求参数中,然后发送请求。 4. 服务器接收到请求后,按照同样的方式计算签名,将计算出的签名值与请求中的签名值进行比对,如果一致则认为请求合法,否则认为请求不合法。 以下是一个简单的示例代码: ```php <?php // 定义应用程序的appsecret $appsecret = "your_app_secret"; // 获取请求参数 $params = $_POST; // 按照参数名进行字典排序 ksort($params); // 将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串 $sign_str = ""; foreach ($params as $key => $value) { $sign_str .= $key . "=" . $value . "&"; } $sign_str .= "appsecret=" . $appsecret; // 计算签名值 $sign = md5($sign_str); // 验证签名 if ($sign != $params['sign']) { // 签名验证失败 echo "Invalid Signature"; } else { // 签名验证成功 // 执行业务逻辑 } ?> ``` 在实际应用中,为了增加安全性,可以使用更加复杂的签名算法,如RSA数字签名等。另外,还可以限制请求的时间戳和nonce值,防止重放攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值