php 接口安全解决方案,PHP 接口数据安全解决方案 (一)

最新推荐文章于 2024-07-25 09:30:00 发布
最新推荐文章于 2024-07-25 09:30:00 发布
阅读量277 收藏 1
点赞数
文章标签: php 接口安全解决方案

PHP 接口数据安全解决方案 (一)

前言

目录介绍

登录鉴权图

接口请求安全性校验整体流程图

代码展示

演示用户登录

演示获取用户信息

文章完整代码地址

后记

前言

目的:

1. 实现前后端代码分离, 分布式部署

2. 利用 token 替代 session 实现状态保持, token 是有时效性的满足退出登录, token 存入 Redis 可以解决不同服务器之间 session 不同步的问题, 满足分布式部署

3. 利用 sign, 前端按照约定的方式组合加密生成字符串来校验用户传递的参数跟后端接收的参数是否一直, 保障接口数据传递的安全

4. 利用 nonce,timestamp 来保障每次请求的生成 sign 不一致, 并将 sign 与 nonce 组合存入 Redis, 来防止 API 接口重放

目录介绍

├── Core

│ ├── Common.PHP(常用的公用方法)

│ ├── Controller.PHP (控制器基类)

│ └── RedisService.PHP (Redis 操作类)

├── config.PHP (Redis 以及是否开启关闭接口校验的配置项)

├── login.PHP (登录获取 token 入口)

└── user.PHP(获取用户信息, 执行整个接口校验流程)

登录鉴权图

ab7653affab982b574eb7acc55df2e04.gif

接口请求安全性校验整体流程图

ab7653affab982b574eb7acc55df2e04.gif

代码展示

common.PHP<?PHP

namespaceCore;

/**

* @desc 公用方法

* Class Common

*/

classCommon{

/**

* @desc 输出 JSON 数据

* @param $data

*/

publicstaticfunctionoutJson($code,$msg,$data=null){

$outData=[

'code'=>$code,

'msg'=>$msg,

];

if(!empty($data)){

$outData['data']=$data;

}

echo json_encode($outData);

die();

}

/***

* @desc 创建 token

* @param $uid

*/

publicstaticfunctioncreateToken($uid){

$time=time();

$rand=mt_rand(100,999);

$token=md5($time.$rand.'jwt-token'.$uid);

return$token;

}

/**

* @desc 获取配置信息

* @param $type 配置信息的类型, 为空获取所有配置信息

*/

publicstaticfunctiongetConfig($type=''){

$config=include"./config.php";

if(empty($type)){

return$config;

}else{

if(isset($config[$type])){

return$config[$type];

}

return[];

}

}

}

RedisService.PHP<?PHP

namespaceCore;

/*

*@desc Redis 类操作文件

**/

classRedisService{

private$Redis;

protected$host;

protected$port;

protected$auth;

protected$dbId=0;

staticprivate$_instance;

public$error;

/*

*@desc 私有化构造函数防止直接实例化

**/

privatefunction__construct($config){

$this->Redis=new\Redis();

$this->port=$config['port']?$config['port']:6379;

$this->host=$config['host'];

if(isset($config['db_id'])){

$this->dbId=$config['db_id'];

$this->Redis->connect($this->host,$this->port);

}

if(isset($config['auth']))

{

$this->Redis->auth($config['auth']);

$this->auth=$config['auth'];

}

$this->Redis->select($this->dbId);

}

/**

*@desc 得到实例化的对象

***/

publicstaticfunctiongetInstance($config){

if(!self::$_instanceinstanceofself){

self::$_instance=newself($config);

}

returnself::$_instance;

}

/**

*@desc 防止克隆

**/

privatefunction__clone(){}

/*

*@desc 设置字符串类型的值, 以及失效时间

**/

publicfunctionset($key,$value=0,$timeout=0){

if(empty($value)){

$this->error="设置键值不能够为空哦~";

return$this->error;

}

$res=$this->Redis->set($key,$value);

if($timeout){

$this->Redis->expire($key,$timeout);

}

return$res;

}

/**

*@desc 获取字符串类型的值

**/

publicfunctionget($key){

return$this->Redis->get($key);

}

}

Controller.PHP<?PHP

namespaceCore;

useCore\Common;

useCore\RedisService;

/***

* @desc 控制器基类

* Class Controller

* @package Core

*/

classController{

// 接口中的 token

public$token;

public$mid;

public$Redis;

public$_config;

public$sign;

public$nonce;

/**

* @desc 初始化处理

* 1. 获取配置文件

* 2. 获取 Redis 对象

* 3.token 校验

* 4. 校验 API 的合法性 check_api 为 true 校验, 为 false 不用校验

* 5.sign 签名验证

* 6. 校验 nonce, 预防接口重放

*/

publicfunction__construct()

{

//1. 获取配置文件

$this->_config=Common::getConfig();

//2. 获取 Redis 对象

$redisConfig=$this->_config['redis'];

$this->Redis=RedisService::getInstance($redisConfig);

//3.token 校验

$this->checkToken();

//4. 校验 API 的合法性 check_api 为 true 校验, 为 false 不用校验

if($this->_config['checkApi']){

// 5. sign 签名验证

$this->checkSign();

//6. 校验 nonce, 预防接口重放

$this->checkNonce();

}

}

/**

* @desc 校验 token 的有效性

*/

privatefunctioncheckToken(){

if(!isset($_POST['token'])){

Common::outJson('10000','token 不能够为空');

}

$this->token=$_POST['token'];

$key="token:".$this->token;

$mid=$this->Redis->get($key);

if(!$mid){

Common::outJson('10001','token 已过期或不合法, 请先登录系统');

}

$this->mid=$mid;

}

/**

* @desc 校验签名

*/

privatefunctioncheckSign(){

if(!isset($_GET['sign'])){

Common::outJson('10002','sign 校验码为空');

}

$this->sign=$_GET['sign'];

$postParams=$_POST;

$params=[];

foreach($postParamsas$k=>$v){

$params[]=sprintf("%s%s",$k,$v);

}

sort($params);

$apiSerect=$this->_config['apiSerect'];

$str=sprintf("%s%s%s",$apiSerect,implode('',$params),$apiSerect);

if(md5($str)!=$this->sign){

Common::outJson('10004','传递的数据被篡改, 请求不合法');

}

}

/**

* @desc nonce 校验预防接口重放

*/

privatefunctioncheckNonce(){

if(!isset($_POST['nonce'])){

Common::outJson('10003','nonce 为空');

}

$this->nonce=$_POST['nonce'];

$nonceKey=sprintf("sign:%s:nonce:%s",$this->sign,$this->nonce);

$nonV=$this->Redis->get($nonceKey);

if(!empty($nonV)){

Common::outJson('10005','该 url 已经被调用过, 不能够重复使用');

}else{

$this->Redis->set($nonceKey,$this->nonce,360);

}

}

}

config.PHP<?PHP

return[

//Redis 的配置

'redis'=>[

'host'=>'localhost',

'port'=>'6379',

'auth'=>'123456',

'db_id'=>0,//Redis 的第几个数据库仓库

],

// 是否开启接口校验, true 开启, false, 关闭

'checkApi'=>true,

// 加密 sign 的盐值

'apiSerect'=>'test_jwt'

];

login.PHP<?PHP

/**

* @desc 自动加载类库

*/

spl_autoload_register(function($className){

$arr=explode('\\',$className);

include $arr[0].'/'.$arr[1].'.php';

});

useCore\Common;

useCore\RedisService;

if(!isset($_POST['username'])||!isset($_POST['pwd'])){

Common::outJson(-1,'请输入用户名和密码');

}

$username=$_POST['username'];

$pwd=$_POST['pwd'];

if($username!='admin'||$pwd!='123456'){

Common::outJson(-1,'用户名或密码错误');

}

// 创建 token 并存入 Redis,token 对应的值为用户的 id

$config=Common::getConfig('redis');

$Redis=RedisService::getInstance($config);

// 假设用户 id 为 2

$uid=2;

$token=Common::createToken($uid);

$key="token:".$token;

$Redis->set($key,$uid,3600);

$data['token']=$token;

Common::outJson(0,'登录成功',$data);

user.PHP<?PHP

/**

* @desc 自动加载类库

*/

spl_autoload_register(function($className){

$arr=explode('\\',$className);

include $arr[0].'/'.$arr[1].'.php';

});

useCore\Controller;

useCore\Common;

classUserControllerextendsController{

/***

* @desc 获取用户信息

*/

publicfunctiongetUser(){

$userInfo=[

"id"=>2,

"name"=>'巴八灵',

"age"=>30,

];

if($this->mid==$_POST['mid']){

Common::outJson(0,'成功获取用户信息',$userInfo);

}else{

Common::outJson(-1,'未找到该用户信息');

}

}

}

// 获取用户信息

$user=newUserController();

$user->getUser();

演示用户登录

简要描述:

用户登录接口

请求 URL:

http://localhost/login.PHP

请求方式:

POST

参数:参数名必选类型说明username是string用户名

pwd是string密码

返回示例{

"code":0,

"msg":"登录成功",

"data":{

"token":"86b58ada26a20a323f390dd5a92aec2a"

}

}

{

"code":-1,

"msg":"用户名或密码错误"

}

演示获取用户信息

简要描述:

获取用户信息, 校验整个接口安全的流程

请求 URL:

http://localhost/user.PHP?sign=f39b0f2dea817dd9dbef9e6a2bf478de

请求方式:

POST

参数:参数名必选类型说明token是stringtoken

mid是int用户 id

nonce是string防止用户重放字符串 md5 加密串

timestamp是int当前时间戳

返回示例{

"code":0,

"msg":"成功获取用户信息",

"data":{

"id":2,

"name":"巴八灵",

"age":30

}

}

{

"code":"10005",

"msg":"该 url 已经被调用过, 不能够重复使用"

}

{

"code":"10004",

"msg":"传递的数据被篡改, 请求不合法"

}

{

"code":-1,

"msg":"未找到该用户信息"

}

文章完整代码地址

点击查看源代码

后记

上面完整的实现了整个 API 的安全过程, 包括接口 token 生成时效性合法性验证, 接口数据传输防篡改, 接口防重放实现. 仅仅靠这还不能够最大限制保证接口的安全. 条件满足的情况下可以使用 https 协议从数据底层来提高安全性, 另外本实现过程 token 是使用 Redis 存储, 下一篇文章我们将使用第三方开发的库实现 JWT 的规范操作, 来替代 Redis 的使用.

来源: https://www.cnblogs.com/lisqiong/p/11023701.html

蚊小湘Neomi
关注
PHP+SQL公共课平时成绩查询系统源码 - 安全高效的成绩管理解决方案
04-13
探索这款基于PHP和SQL开发的公共课平时成绩查询系统源码,为教育机构提供了一个安全高效的成绩管理解决方案。系统功能包括成绩录入、查询、更新、统计分析等。用户界面简洁直观,操作简便,支持多种查询条件,确保...
php对接海康威视接口开发
08-04
而海康威视则是全球知名的安防设备与解决方案提供商,其产品涵盖了监控摄像头、录像机等众多领域。当需要通过编程方式与海康威视的设备进行交互时,就需要用到接口开发。本话题聚焦于如何利用PHP对接海康威视的综合...
php 接口安全解决方案,php接口数据安全解决方案(一)
weixin_39756273的博客
03-10 176
前言目的:1.实现前后端代码分离,分布式部署2.利用token替代session实现状态保持,token是有时效性的满足退出登录,token存入redis可以解决不同服务器之间session不同步的问题,满足分布式部署3.利用sign,前端按照约定的方式组合加密生成字符串来校验用户传递的参数跟后端接收的参数是否一直,保障接口数据传递的安全4.利用nonce,timestamp来保障每次请求的生成s...
一套PHP做app接口解决方案
热门推荐
AndyLizh的专栏
09-10 3万+
服务端用php+mysql给ios的app客户端做一套api,需要怎么去考虑和实现安全性方面的问题?服务端这边预先设定了一个appid和一个appkey给到了客户端的开发者,接口可以使用http或者https方式请求(最好可以使用http)方式! 处于安全考虑,应当在传值的时候加个验证字段,比如...?token=wedwdwfwf,将token值进行判断后再决定是否给予返回值,你还可以
php接口如何保证安全
最新发布
php-yyds
07-25 403
身份验证和授权: 使用OAuth、JWT等标准协议进行身份验证。 确保用户只能访问其有权限的数据和操作。 输入验证: 对所有用户输入进行严格验证,包括参数、表单数据等。 使用白名单验证即只允许特定格式的数据。 使用HTTPS: 确保通过HTTPS进行数据传输,以加密数据避免中间人攻击。 防止SQL注入: 使用PDO或MySQLi的参数化查询或预处理语句。 不直接将用户输入插入到SQL查询中。 防止跨站请求伪造(CSRF): 在表单中加入CSRF令牌,并在服务器端进行验证。 防止跨站脚本攻击(XSS
PHP API接口安全方案
m0_60591287的博客
07-08 362
通过全面评估接口安全风险、采取多种安全措施和加强代码安全性以及建立监控和应急响应机制等手段,我们可以有效地提升PHP API接口安全性水平,保障用户数据的安全和系统的稳定运行。照这么推测的话,我们也需要不断学习和掌握新的安全技术和方法,以适应不断变化的网络安全环境。而当我们提到PHP API接口安全方案时,实际上是指为了保障这些交互过程中的数据安全和完整性所采取的一系列措施和策略。因此,制定和执行PHP API接口安全方案不仅是为了保障系统安全稳定和用户数据安全,更是为了遵守法律法规和维护企业形象。
php接口数据安全解决方案(一)
weixin_30462049的博客
06-15 222
前言 目录介绍 登录鉴权图 接口请求安全性校验整体流程图 代码展示 演示用户登录 演示获取用户信息 文章完整代码地址 后记 前言 目的: 1.实现前后端代码分离,分布式部署 2.利用token替代session实现状态保持,token是有时效性的满足退出登录,token存入redis可以解决不同服务器之间session不同步的问题,满足分布式部署 3.利用sign,前端按照约定的方式组合加密...
API接口安全方案
weixin_43910920的博客
08-29 679
概述:API数据交互采用非对称加密。由服务端生成公钥和私钥,前端通过接口获取到生成的公钥,私钥由服务端保存。一般在比较大的版本升级的时候,才会获取一次公钥和私钥。接口通讯的数据安全主要由以下几个参数保证: token:在前端点击登录的时候,前端首先将用户名(username),密码(公钥加密后),deviceId,loginTime发送给server. server校验登录成功只会根据user...
企业数据安全管理解决方案.pdf
03-12
【企业数据安全管理解决方案】 在当前信息化时代,企业数据的安全管理已成为企业生存和发展的重要基石。随着企业信息化水平的不断提升,各类系统和数据存储的安全性显得尤为关键。为了应对这一挑战,企业需要建立...
大型集团企业一站式非结构化数据管理与应用平台解决方案(PPT).pptx
11-16
大型集团企业一站式非结构化数据管理与应用平台解决方案是一个基于开放平台的解决方案,旨在为企业提供一个统一的非结构化数据管理与应用平台。该平台可以实现企业非结构化数据的汇聚、存储与集中管理,提供员工随时...
PHP验证解决方案wm-validate-5.x.zip
06-06
PHP编程中,验证是确保数据安全性和准确性的关键步骤。...总的来说,`wm-validate-5.x`提供的PHP验证解决方案旨在简化开发过程,确保数据安全。通过合理的数据验证,开发者能够构建更健壮、更安全的Web应用程序。
PHP接口数据安全解决方案(一)
withoutfear的博客
10-08 921
前言 目录介绍 登录鉴权图 接口请求安全性校验整体流程图 代码展示 演示用户登录 演示获取用户信息 文章完整代码地址 后记 前言 目的: 1.实现前后端代码分离,分布式部署 2.利用token替代session实现状态保持,token是有时效性的满足退出登录,token存入redis可以解决不同服务器之间session不同步的问题,满足分布式部署 3.利用sign,前端按照约定的方式组合加密生成字符串来校验用户传递的参数跟后端接收的参数是否一直,保障接口数据传递的安全 4.利用no
php接口安全设计及实现
小罗的博客
01-08 1896
php接口安全设计浅谈 接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: (1)Token授权机制:(Token是客户端访问服务端的凭证)–用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果...
安全php_API接口开发安全性,你是如何解决的
weixin_39598954的博客
01-14 106
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口安全性问题尤为重要,本篇文章我们就来聊聊关于API接口安全性。所谓接口,服务器端直接根据user_id来...
PHP如何保障API接口安全
2401_86114040的博客
07-10 294
通过实施身份验证与授权、输入验证与过滤、数据加密与传输安全、日志记录与监控以及限流与防攻击等策略,可以大大提高API接口安全性,降低被恶意攻击的风险。因此,在开发PHP API接口时,应充分考虑并应用这些安全策略,确保系统的稳定运行和用户数据的安全。按理说应该是如此,对于敏感数据(如密码、密钥等),PHP可以采用加密算法(如AES、RSA等)进行加密存储和传输,确保数据的安全性。按理说应该是如此,使用防火墙、入侵检测系统等工具来检测和防御恶意攻击,确保API接口的稳定性和安全性。
php安全接口实例,PHP开发api接口安全验证的实例讲解
weixin_42514877的博客
03-11 118
原理从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。时间戳:当前时间随机数:随机生成的随机数口令:前后台开发时,一个双方都知道的标识,相当于暗号算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。前台生成一个签名,当需要访问接口的时候,把时间戳,随机数,签名通过URL传递到后台。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比...
php接口安全防护的方式,php接口安全问题
weixin_36382073的博客
03-16 297
有一次在帮部门的一个同事做接口的时候,他忽然跟我说起接口的事情,如果这个接口的url被别人随便用一个工具抓到,比如:firebug,那么人家就可以进行恶意调用了,其实这个token没什么用,因为别人可以保留这个请求。一下提醒我了,之前一直没有注意到这个问题,简单的认为这个url不会被轻易抓到(虽然自己一直用firebug),即使被抓到,也绕不过token的检查。后面跟这位同事大概讨论了一下这个问题...
php接口安全的方面
ltstud的博客
08-10 2941
在平时工作或者正式项目中,做接口在所难免,而接口安全问题首当其冲,为了防止接口被别人恶意调用,一般会做一个加密的工作,不同的公司,都有一套不同的处理方式。我们公司也有一套处理方式,即:做了一个加密的token,该token为时间戳和一个特殊字符串(这个字符串只能调用和被调用方知道)的md5,我也一直用这个处理方式来做接口。   有一次在帮部门的一个同事做接口的时候,他忽然跟我说起接口的事情,如
PHP JWT API接口鉴权
yandycom的博客
04-29 1490
通过composer安装JWT composer require lcobucci/jwt 代码 <?php /** * Created by PhpStorm. * User: yandy <yandycom@126.com> * Date: 2019/4/29 0029 */ use \Lcobucci\JWT\Builder; use \Lcobucci\JW...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值