php api接口验证签名错误,API常用签名验证方法(PHP实现)

最新推荐文章于 2024-04-20 11:38:33 发布
最新推荐文章于 2024-04-20 11:38:33 发布
阅读量607 收藏
点赞数
文章标签: php api接口验证签名错误

使用场景

现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。

API签名验证

这里我们引入业内比较通用的签名验证来对接口进行参数加密,有以下优势。请求的唯一性:计算出的签名是唯一的,可以用来验证。

参数的可变性:参数中包含时间戳参数,这就保证每次的请求计算出得签名都是不一样的。

请求的时效:由于请求中带有当前发起请求的时间戳参数,服务端可以对时间戳进行验证,过滤超出时效的请求。

安全性:即使请求被人恶意抓包,对方恶意篡改其中的参数,那么签名都是错误的,参数无法修改。

实践出真理

1. 对map类型(即一组键值对)的待签名数据根据键的大小进行排序。map中各参数按字母顺序排序,如果第一个字母相同,按第二个字母排序,依次类推。例如{

"timestamp": "2017-06-08 09:38:00",

"format": "xml",

"app_id": "aabbc",

"cp_extend_info": "",

"sign_type": "HMAC-SHA1",

"sign": "abc"

}

那么,排序后变成{

"app_id": "aabbc",

"cp_extend_info": "",

"format": "xml",

"sign_type": "HMAC-SHA1",

"timestamp": "2017-06-08 09:38:00"

}注意:如果map中包含签名的参数(sign)需要过滤该参数的键值不参与签名,没有值的参数请不要参与签名

2. 对排序后的map进行序列化处理成待签名字符串,拼接后的待签名字符串为app_id=aabbc&format=xml&sign_type=HMAC-SHA1&timestamp=2017-06-08 09:38:00

3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要(hash)签名并进行base64_encode编码(便于显性传输和对比),假设签名密钥为 test ,则提取出的摘要签名并进行base64_encode的值为JqoEqPIVVor0eyRHMYiZftsycVo=注意:由于有些数据根据HTTP协议需求,在网络传输过程中需要进行URLencoding,这样接收方才可以接收到正确的参数,但如果这个参数参与签名,那么待签名字符串必须是字符串原值而非URLencoding 的值。

代码实践

PHP示例/**

* 使用密钥生成HMAC-Sha1签名

* @param array $params 请求参数

* @param string $signKey 签名密钥

* @return string

*/

function hmacSha1Sign($params,$signKey)

{

ksort($params);

$paramString = '';

foreach ($params as $key => $value) {

if (is_null($value) || $value=='' || $key == 'sign') {

continue;

}

$paramString .= $key.'='.$value.'&';

}

$paramString = substr($paramString,0,-1);

$sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE));

return $sign;

}

以上就是日常开发中常用的API验证签名方式,很简单又非常使用,欢迎关注获取更多的教程。

单纯绅士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP开发api接口安全验证操作实例详解
10-15
本文将深入探讨如何在PHP实现API接口的安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些...
WEB API 接口签名验证入门与实战课程
06-21
通过对API接口编写与请求过程的分析认识到接口请求中的安全问题,并利用签名验证解决这些问题 这些 API数据传输各种安全问题包括: 1、如何接口请求这的合法性 2、如何保证登陆的安全性 3、如何保证请求的参数不被...
PHP开发API接口签名生成及验证操作示例
10-15
主要介绍了PHP开发API接口签名生成及验证操作,结合实例形式较为详细的分析了PHP开发API接口签名生成及验证操作相关原理、实现方法与操作注意事项,需要的朋友可以参考下
php api验证签名
xiaoyun888_的博客
03-17 260
大概逻辑就是:客服端发来post数据,在发送的时候给数据加一个sign字段,字段内容是客户端和服务端通过appid和serect进行加密的字符串,客户端和服务端的appid和serect是一样的。 服务端收到数据后,把数据按照客户端一样的方式生成sign,再进行比较,相等则说明通过,验签主要是为了验证是否是指定用户发来的请求。避免安全隐患 <?php namespace ThreeTrafficNanchang\Controller; use ThreeTrafficNanchang\Mode.
php api接口验证签名错误,php接口签名生成与验证
weixin_33817140的博客
03-11 249
// 设置一个公钥(key)和私钥(secret),公钥用于区分用户,私钥加密数据,不能公开$key = "c4ca4238a0b923820dcc509a6f75849b";$secret = "28c8edde3d61a0411511d3b1866f0636";// 待发送的数据包$data = array('username' => 'abc@qq.com','sex' => '...
简单API接口签名验证
DN金猿的博客
12-01 1269
前言 后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题: 1. 请求的来源是否合法 2. 请求参数是否被篡改 3. 请求的唯一性 我们的签名加密也是主要针对这几个问题来实现 设计 基于上述的几个问题,我们来通过已下步骤来实现签名加密: 1. 通过分配给APP对应的app_key和app_secret来验证身份 2. 通过将请求的所有参数按照字母先后顺序排序后拼接再MD5加密老保证请求参数不被篡改 3. 请求里携带时间戳参数老保证请求
PHP实现API接口签名验证
weixin_41981080的博客
04-14 1768
项目需要向外部提供接口,供第三方网站调用,为了保证传输数据的安全性,给项目添加了签名认证的机制,过程大致如下: 一、由我们平台给第三方颁发一个appId和一个appSecret,appId用来传输,appSecret用来生成签名 二、第三方通过拼接appSecret生成签名sign,第三方将数据和appId一起传给我们平台 三、我们平台接收到数据后根据接收到的数据用同样的算法生成签名,通过比...
API接口对接生成签名验证签名
11-01
API接口生成签名验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
php api接口数字签名,验签
weixin_30357231的博客
12-07 417
<?php //说明:第三方请求参数中,需要在平台申请帐号,生成一个appid,每个appid对应一个appserect,请求如下: $param = array(   'appid'=>'137876891',   'name'=>'张三',   'mobile'=>'1389***9108',   'age'=>'29',   'content'=&...
php篇 | API查询接口签名代码大全
KuaiDNiao的博客
01-04 246
此文章供各位程序员学习参考,后续我将会继续分享各语言的快递单号查询接口教程、干货,敬请期待。
百度翻译API调用PHP实现
12-03
百度翻译API调用PHP实现,
服务商的小程序微信支付api,一直报签名验证错误…解决办法
BILL-博客-LLIB
07-05 2万+
我调用小程序的微信支付api,一直报签名验证错误,参与签名的参数有timeStamp、nonceStr、package、signType。使用微信支付签名校验工具生成的签名跟我自己服务器生成的签名是一样的,但还是报签名错误。 err_desc: “支付验证签名失败”, err_code: “-1”, errMsg: “requestPayment:fail” wx.requestPay...
API常用签名验证方法(PHP实现)
Anzexi123的博客
07-27 634
现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要(hash)签名并进行base64_encode编码(便于显性传输和对比),假设签名密钥为 test ,则提取出的摘要签名并进行base64_encode的值为。请求的唯一性:计算出的签名是唯一的,可以用来验证
PHP版滴滴cps联盟Api签名生成和接口调用方法分享
07-11 7859
由于淘客系统本身是PHP开发的,所以只能采用PHP的代码接入滴滴联盟Api。最近准备把我自己开发的淘客系统接入滴滴联盟平台,做打车优惠券搞佣金。下面把滴滴联盟签名生成和接口调用的代码分享给大家。
详解PHPapi开发时如何设计签名验证
最新发布
菜鸟教程
04-20 724
签名验证是通过对请求参数进行加密处理,生成签名值,并将签名值附加到请求中,服务器端再根据相同的加密算法和密钥对请求参数进行加密,生成签名值并进行比对,从而验证请求的合法性。客户端请求数据的准备,包括请求参数的获取和排序。请求参数的加密处理,生成签名值。将签名值附加到请求中,发送到服务器端。服务器端接收请求,获取请求参数和签名值。对请求参数进行加密处理,生成签名值,并与接收到的签名值进行比对,验证请求的合法性。
php构造http请求,PHP模拟http请求的方法详解
weixin_29612723的博客
03-09 257
本文实例讲述了PHP模拟http请求的方法。分享给大家供大家参考,具体如下:方法一:利用php的socket编程来直接给接口发送数据来模拟post的操作。建立两个文件post.php,getpost.phppost.php内容如下:$flag = 0;$params = '';$errno = '';$errstr = '';//要post的数据$argv = array('var1'=>'...
PHP接口签名校验
Pasa吴技术博客
01-06 1289
api接口签名验证
微信支付,“签名错误,请检查后再试” 的坑爹经历
Yang_yangyang的博客
04-01 2万+
微信提交预订单**请求**XML报文: <xml> <appid><![CDATA[wx45485fdfd5fd5fdfd]]></appid> <mch_id><![CDATA[1687896659]]></mch_id> <nonce_str><![CDATA[0XMLHISMJSJUQV7ZA6KD5GBQC5VCOVKU]]></nonce_str> <sig...
微信支付接口返回“签名错误”的解决办法
热门推荐
一颗程序猿
01-06 5万+
1、确认公众号的appSecret和商户号的API密钥没有搞混。 2、重置商户API密钥。 3、确认公众号授权的域名和目录是正确的。 4、参数body含有中文字符,改换英文签名成功,那么就转换字符编码试试。 dat=iconv(′UTF−8′,′ISO8859−1′,array2xml(dat = iconv(&amp;#x27;UTF-8&amp;#x27;,&amp;#x27;ISO88...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值