php api接口验证,PHP开发API接口签名生成及验证操作示例

最新推荐文章于 2022-07-01 15:19:26 发布
最新推荐文章于 2022-07-01 15:19:26 发布
阅读量281 收藏
点赞数
文章标签: php api接口验证

本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下:

开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。

我们在设计签名验证的时候,请注意要满足以下几点:

可变性:每次的签名必须是不一样的。

时效性:每次请求的时效,过期作废等。

唯一性:每次的签名是唯一的。

完整性:能够对传入数据进行验证,防止篡改。

一、签名参数sign生成的方法

第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。

第2步: 然后把排序后的参数按参数1值1参数2值2…参数n值n(这里的参数和值必须是传输参数的原始值,不能是经过处理的,如不能将"转成”后再拼接)的方式拼接成一个字符串。

第3步: 把分配给接入方的验证密钥key拼接在第2步得到的字符串前面。

第2步: 在上一步得到的字符串前面加上验证密钥key(这里的密钥key是接口提供方分配给接口接入方的),然后计算md5值,得到32位字符串,然后转成大写.

第4步: 计算第3步字符串的md5值(32位),然后转成大写,得到的字符串作为sign的值。

举例:

假设传输的数据是/interface.php?sign=sign_value&p2=v2& p1=v1&method=cancel&p3=&pn=vn(实际情况最好是通过post方式发送),其中sign参数对应的sign_value就是签名的值。

第一步,拼接字符串,首先去除sign参数本身,然后去除值是空的参数p3,剩下p2=v2&p1=v1&method=cancel& amp;pn=vn,然后按参数名字符升序排序,method=cancel&p1=v1&p2=v2&pn=vn.

第二步,然后做参数名和值的拼接,最后得到methodcancelp1v1p2v2pnvn

第三步,在上面拼接得到的字符串前加上验证密钥key,我们假设是abc,得到新的字符串abcmethodcancelp1v1p2v2pnvn

第四步,然后将这个字符串进行md5计算,假设得到的是abcdef,然后转为大写,得到ABCDEF这个值即为sign签名值。

注意,计算md5之前请确保接口与接入方的字符串编码一致,如统一使用utf-8编码或者GBK编码,如果编码方式不一致则计算出来的签名会校验失败。

二、签名验证方法:

根据前面描述的签名参数sign生成的方法规则,计算得到参数的签名值,和参数中通知过来的sign对应的参数值进行对比,如果是一致的,那么就校验通过,如果不一致,说明参数被修改过。

三、下面直接看代码

// 设置一个公钥(key)和私钥(secret),公钥用于区分用户,私钥加密数据,不能公开

$key = "c4ca4238a0b923820dcc509a6f75849b";

$secret = "28c8edde3d61a0411511d3b1866f0636";

// 待发送的数据包

$data = array(

'username' => 'abc@qq.com',

'sex' => '1',

'age' => '16',

'addr' => 'guangzhou',

'key' => $key,

'timestamp' => time(),

);

// 获取sign

function getSign($secret, $data) {

// 对数组的值按key排序

ksort($data);

// 生成url的形式

$params = http_build_query($data);

// 生成sign

$sign = md5($params . $secret);

return $sign;

}

// 发送的数据加上sign

$data['sign'] = getSign($secret, $data);

/**

* 后台验证sign是否合法

* @param [type] $secret [description]

* @param [type] $data [description]

* @return [type] [description]

*/

function verifySign($secret, $data) {

// 验证参数中是否有签名

if (!isset($data['sign']) || !$data['sign']) {

echo '发送的数据签名不存在';

die();

}

if (!isset($data['timestamp']) || !$data['timestamp']) {

echo '发送的数据参数不合法';

die();

}

// 验证请求, 10分钟失效

if (time() - $data['timestamp'] > 600) {

echo '验证失效, 请重新发送请求';

die();

}

$sign = $data['sign'];

unset($data['sign']);

ksort($data);

$params = http_build_query($data);

// $secret是通过key在api的数据库中查询得到

$sign2 = md5($params . $secret);

if ($sign == $sign2) {

die('验证通过');

} else {

die('请求不合法');

}

}

?>

希望本文所述对大家PHP程序设计有所帮助。

falsecarefree
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php md5加密 php md5加密
11-16
php md5加密php md5加密php md5加密php md5加密
PHP 开发API接口签名验证
diandu3502的博客
06-29 363
就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床。所谓man-in-the-middle攻击简单讲就是指恶意的黑客可以在客户端和服务器端的明文通信通道上做手 脚,黑客可以监听通信内容,偷取机密信息,甚至可以篡改通信内容,而通过加密后的通信内容理论上是无法被破译的。 URL...
PHP常用的接口MD5加密根据密钥生成签名方法
LordForce的博客
07-01 1569
PHP接口根据密钥进行MD5加密生成签名获得小写的签名
php api md5签名,md5签名示例(推荐)
weixin_39778447的博客
03-10 410
```// APP-KEY 与 密钥$api_key = 'XXXXXXXX';$secret_key = 'XXXXXXXXXX';// 计算签名$sign = md5( $api_key . $secret_key );// 公用必备参数$pub_sign = ['api_key' => $api_key,'sign' => $sign,];//...
php argsort,MD5数字签名算法:生成签名和验签(附代码)
weixin_33467739的博客
03-23 672
一.背景为了增加接口的安全性(防止中间人攻击),现增加签名算法。此算法参考微信支付中的签名算法,由于该签名针对前后端,采用了对称算法,如后续接口供给多家第三方接口使用可采用非对称算法。大致整理文档供后续开发人员使用阅读。二. 签名生成步骤①设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&...
PHP开发API接口签名生成验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
icbc工行b2c签名接口_v2.0.0.6_php5.5api_win64(文档,demo,dll)
10-09
《工商银行B2C签名接口_v2.0.0.6_PHP5.5API_Win64详解》 在电子商务和在线支付领域,安全是至关重要的。工商银行作为国内领先的金融机构,为商家提供了B2C(Business to Consumer)签名接口,以确保交易的安全性和...
php版微信js-sdk支付接口类用法示例
12-19
接着,调用`createJsApiPackage()`方法生成JS API的package签名包,这个包包含了所有支付所需的信息,如appid、package、timestamp、nonceStr和sign,用于前端调用微信支付的JS接口。 对于Native支付,可以使用`...
php版微信发红包接口用法示例
12-19
3. `getSign($data)`:生成签名签名是根据接口要求的特定算法(通常是MD5)计算的,用于验证请求的合法性。 4. `arrayToXml($data)`:将数组转换为XML格式,因为微信接口通常需要XML数据作为请求体。 5. `...
php接口签名验证
01-11 123
在做一些api接口设计时候会遇到设置权限问题,比如我这个接口只有指定的用户才能访问。很多时候api接口是属于无状态的,没办法获取session,就不能够用登录的机制去验证,那么大概的思路是在请求包带上我们自己构造好的签名,这个签名必须满足下面几点:a、唯一性,签名是唯一的,可验证目标用户b、可变性,每次携带的签名必须是变化的c、时效性,具有一定的时效,过期作废d、完整性,能够对数据包进行...
php 调用api 认证,PHP调用 API 时对请求参数进行签名验证
weixin_36081486的博客
03-10 505
一、签名方法调用 API 时需要对请求参数进行签名验证,服务器会对该请求参数进行验证是否合法的。方法如下:根据参数名称(除签名和图片文件)将所有请求参数按照字母先后顺序排序:key=value .... &key=value,并且除去待签名参数数组中的空值和签名参数例如:将foo=1,bar=2,baz=3 排序为bar=2,baz=3,foo=1,参数名和参数值链接后,得到拼装字符串ba...
php 参数排序 计算sign_sign计算
weixin_29297127的博客
02-19 472
## sign签名计算### 1) 签名说明> 将所有传递的参数名(不包含sign和timestamp参数)按照字母升序排序,然后进行url拼接,然后再取其MD5码> 注意:**sign和timestamp参数不参与md5**### 2) 举例:* 要使用 **查询授权** API,通过查阅API文档可以知道要传递**op、key_cp、user**三个参数* 即:***op=quer...
php md5加密(并小写),PHP常见加密函数用法示例【crypt与md5】
weixin_39884373的博客
03-20 1122
本文实例讲述了PHP常见加密函数用法。分享给大家供大家参考,具体如下:1.crypt()函数crypt()函数用于返回使用DES、Blowfish或MD5算法加密过后的字符串,crypt(str,salt)接受2个参数,第1个为需要加密的字符串,第2个为盐值(加密干扰值,如果没有提供,则默认由PHP自动生成),返回的字符串为散列的字符串或者是一个少于13个字符的字符串;//使用crypt()函数进...
php的md5(),php MD5加密详解
weixin_36431907的博客
03-09 2500
PHP crypt()函数可以完成基本的加密功能:string crypt (string input_string [, string salt])这一函数完成被称作单向加密的功能,也就是说,它可以加密一些明码,但不能够将密码转换为原来的明码。单向加密的口令一旦落入第三方人的手里,由于不能被还原为明文,因此也没有什么大用处。在验证用户输入的口令时,用户的输入采用的也是单向算法,如果输入与存储的经...
php的md5(),PHP中MD5函数效率
weixin_42510567的博客
03-09 525
起因在校内APP发开论坛看到:姓名大作战由于每次战斗都需要经过2次md5计算,访问用户一多就经常把服务器cpu占用搞到100%,空间商找我麻烦了,昨晚把所在虚拟目录封闭了已经。现在临时采用了将计算过的用户的md5存到数据库中的方法,但是这样基本每次战斗还是会经过一次的md5计算(因为所选择的对手基本都应该是没有对战过的,之前没有计算过他的md5值),谁能提供点更好的方法。md5函数与字符串长度然后...
PHP 接口的安全设计要素:Token,签名,时间戳
jokeruan的博客
08-31 197
后端以api的方式将数据源呈现出来是目前的趋势,可以用在前后端分离的架构中,前后端分离之后,前后端人员能够更加专注于自己板块的东西;也可以用在后端与后端相互调用中。 拿到接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证 验证原理 原理 从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。 1 时间戳:当前时间 2 随机数:随机生成的随机数
php pdf 加密 签名 时间戳,API接口的安全设计验证:ticket,签名,时间戳
weixin_33561910的博客
03-19 346
概述与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的...
api 安全
北漂猿
01-31 843
摘自: https://www.cnblogs.com/xingxia/p/api_secrute.html APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全的API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证
php api设计
qi琪的专栏
04-27 398
目前的比较流行接口的设计 restful 风格, outh2.0接口。 从对接方分类 1.跟第三方对接 一般使用outh2.0验证安全。 2. 客户端提供接口 生成token,timestamp,sign。 自己目前在工作中简答使用的思路: 1.客户端请求登陆接口时,更新token和timestamp ,同时返回给客户端token和timestamp。 2.其它接...
PHP实现API接口签名验证
最新发布
06-11
以下是一个PHP实现API接口签名验证示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串。 2. 将待签名字符串和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值