php api安全验证失败,开放式 api 简单安全验证案例 转自教书先生

最新推荐文章于 2023-07-28 14:54:04 发布
最新推荐文章于 2023-07-28 14:54:04 发布
阅读量457 收藏 1
点赞数
文章标签: php api安全验证失败

前言:

前后端分离的项目,api 难免会暴露,特别是不需要登陆的开放式 api。为防止 api 被他人盗用,在前端请求参数中添加 token,后端进行对比验证是简单有效的方法。

思路:

前端 ajax 请求时,带上时间戳参数 timestamp 和由 时间戳 + 唯一字符串 (secret) 通过约定算法生成的参数 token,后端拿到 timestamp 参数后,使用和前端相同的算法计算出 token,并与前端传过来的 token 对比,相同则通过验证。当然为防止盗用者使用抓取的 timestamp 和 token 重复提交,需要对比客户端和服务器的时间戳是否超时。

代码:

前端(JavaScript):

$.ajax({

url: "/api.php",

headers: {

timestamp: (new Date().getTime() + '').substr(0, 10),

token: createToken()

}

}).success((res) => {

console.log(res)

})

function createToken() {

var timestamp = (new Date().getTime() + '').substr(0, 10);

var secret = "123";

return hex_md5(timestamp + secret);

}

后端(PHP):<?php

header("Access-Control-Allow-Origin:*");

if (tokenCheck()!==1) {

$json['status']=0;

$json['data']='token error!';

}else{

$json['status']=1;

$json['data']='token ok!';

//main code ...

}

echo json_encode($json);

function tokenCheck(){

$timestamp=isset($_SERVER['HTTP_TIMESTAMP'])?$_SERVER['HTTP_TIMESTAMP']:"";

$token=isset($_SERVER['HTTP_TOKEN'])?$_SERVER['HTTP_TOKEN']:"";

$diff =time()-$timestamp;

return (($diff>30) || ($token!==createToken($timestamp))) ? 0 : 1;

}

function createToken($time){

$secret="123";

return md5($time.$secret);

}

提醒:

前端生成 token 的算法 createToken() 尽量保密,可以使用 js 加密工具。

API 使用第三方滑动验证的也可以。

高柳蝉
关注
淘宝开放平台签名验证失败
u013702409的专栏
07-21 3833
错误提示: [sdk.comm.err] [156] ERROR [2015-07-20 17:16:32^_^null^_^null^_^192.168.2.32^_^Windows Vista^_^top-sdk-java-20150129^_^https://oauth.tbsandbox.com/token^_^^_^java.security.cert.CertificateExcep
有关安全国旗下讲话3篇.docx
02-21
### 安全意识与校园安全的重要性 在当前社会背景下,安全问题已经...只有这样,才能真正实现校园的安全与稳定,让学生们在安全的环境中健康成长,让老师们在一个宁静安全的环境中教书育人,共同建设和谐美好的校园。
php api开发 token
雪锋的笔记
12-21 667
token 设计和验证: APP自用登陆型token实现步骤: (1)数据库用户表添加token字段和time_out这个token过期时间字段 (2)用户登陆时(注册时自动登陆也需要)生成一个token和过期时间存入表中 (3)在其他接口调用前,判断token是否正确,正确则继续,错误则让用户重新登陆 验证流程: 1:服务端接收到app发送的用户名和密码,进行登录验证.(如果登录验证...
php邮箱验证laravel接口,Laravel 5 API 服务端支持签名授权认证
weixin_29384861的博客
03-27 222
Laravel 5 API 服务端支持签名授权认证Api Authorized Signature Middleware for Laravel 5关于The larsign package authorized signature server.FeaturesHandles larsign requestsInstallationRequire the havenshen/larsign pa...
PHP禁止外部访问API方法,怎么防止外人调用api
weixin_30195669的博客
03-13 955
小弟问个问题如果网站的操作都是通过一个api实现的比如php有一个控制页面,www.control.php?action=1$addlist="adfs".....当然是post方法,举例。从主页ajax 调用post到这个页面怎么防止别人通过工具提交页面到我的api,只允许我的手机app提交?谢谢大神们指点回复讨论(解决方案)我们团队的做法是每台手机登陆app后会有一个session_id,简称...
php api接口验证,PHPapi接口请求token验证
weixin_32184991的博客
03-09 762
加token的目的,不言而喻,为了api接口的安全性。等等 ~~~先声明一些验证规则protected $request; // 用来处理参数protected $validater; // 用来验证数据/参数protected $params; // 过滤后符合要求的参数protected $rules = array('Login' => array('login_join' =>...
学院安全稳定工作责任制.docx
10-01
其次,分管学院安全保卫的院级领导作为安全稳定管理人,具体负责安全稳定工作的组织和实施,包括协助院长领导安全稳定工作领导小组,起草管理制度,部署安全工作,处理突发事件,以及组织安全教育和演练等。...
学校安全教育学习心得体会.docx
10-01
学校安全教育是教育体系中至关重要的一环,关系到每一个学生的生命安全和健康成长。通过对学校安全教育的学习,我深刻体会到安全教育对于孩子未来发展的重要性。学校不仅是传授知识的地方,更是培养全面发展的公民的...
夯实安全责任 实干彰显实效.docx
10-01
1. 教师“一岗三责”落实:教师不仅承担教书育人的责任,还需要确保学生安全。学校通过宣讲法律、法规,提高教师的安全意识,并细化安全管理措施,明确每位教师的安全职责,签订安全责任书,形成全方位的安全管理...
学校安全工作考核办法及奖惩制度.docx
10-01
学校作为教书育人的场所,安全工作尤为重要。本制度旨在通过明确的安全管理目标、考核办法及奖惩机制,确保“安全第一、预防为主”的原则得到有效落实,保护师生的生命安全和国家财产不受损害,营造安全文明的校园...
PHP开发API接口安全验证accesstoken
superw的博客
01-29 866
背景 使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证验证原理 前台想要调用接口,需要使用几个参数生成签名。 时间戳:当前时间 随机数:随机生成的随机数 口令:前后台开发时,一个双方都知道的标识,相当于暗号 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。 前台生成一个签名.
php后端开发接口需要哪些,api接口后端开发
weixin_39860201的博客
03-16 351
>api接口主要接口主要解决的问题* [ ] 接口被其它网站恶意盗刷* [ ] 防止接口被前端重复提交* [ ] 提高接口使用的可控制性* [ ] 降低开发接口的成本>[danger]在api接口开发中,凡是需要强制用户登录的接口,控制器中方法的名称【action】的前缀为"member_",当检测到【action】的前缀为"member_",接口会先去检测用户登录信息,如果用户未登录...
java csrf解决方案_CSRF的几种防御方法的利弊分析
weixin_42303285的博客
02-16 1071
本文直接从防御方式开始讨论,防御CSRF有4种方法:使用POST替代GET检验HTTP Referer验证码Token使用POST替代GET一些程序员在开发的时候都是用GET、POST通用的函数来接收客户端的数据,这样也是某些接口有CSRF的原因之一,但是将全部接口都改成只允许POST方式访问,就能防范CSRF了吗?答案是:不能。只能说提高了一些成本。原本是GET方式访问的接口,攻击者只需要构造接...
token在浏览器和服务端接收和发送
读万卷书,行万里路
03-28 5377
1.使用header 客户端 index.html <html> <head> <script src="http://libs.baidu.com/jquery/1.10.2/jquery.min.js"></script> <style> .oc{ width: 200px; ...
php soap header_PHP的soapheader问题
weixin_35944230的博客
03-09 481
PHP写的服务端,如果通过header验证需要注意一下soapui工具里添加的header是放在$_SERVER数组中的。而PHP的soapheader添加的,是放在soap原始请求中的,需要通过获取MessageServer::soaputils_autoFindSoapRequest();原始请求来取得。部分服务端解析:$username=isset($_SERVER['HTTP_USERNA...
PHP服务器变量$_SERVER
Jtype的专栏
08-11 623
常常在用,常常反复查,哎,记录一下吧!服务器变量 $_SERVER :1、$_SERVER[PHP_SELF] — 获取当前正在执行脚本的文件名2、$_SERVER[SERVER_PROTOCOL] — 请求页面时通信协议的名称和版本。例如,“HTTP/1.0”。3、$_SERVER[REQUEST_TIME] — 请求开始时的时间戳。从 PHP 5.1.0 起有效
好用免费的api接口大全
最新发布
weixin_44248090的博客
07-28 4万+
API(Application Programming Interface,应用程序接口)是一些预先定义的函数,或指软件系统不同组成部分衔接的约定。目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问原码,或理解内部工作机制的细节。稳定、快速、免费的 API 接口服务。稳定、快速、免费的 API 接口服务。稳定、快速、免费的 API 接口服务。免费api访问网址(不需要注册)五、JSON API免费接口。免费api接口(需要注册)七、free-api。五、阿里云免费api
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值