php 调用api 认证,PHP调用 API 时对请求参数进行签名验证

最新推荐文章于 2024-07-09 13:51:30 发布
最新推荐文章于 2024-07-09 13:51:30 发布
阅读量540 收藏
点赞数
文章标签: php 调用api 认证

一、签名方法

调用 API 时需要对请求参数进行签名验证,服务器会对该请求参数进行验证是否合法的。方法如下:

根据参数名称(除签名和图片文件)将所有请求参数按照字母先后顺序排序:key=value .... &key=value,并且除去待签名参数数组中的空值和签名参数

例如:将foo=1,bar=2,baz=3 排序为bar=2,baz=3,foo=1,参数名和参数值链接后,得到拼装字符串bar=2&baz=3&foo=1

系统暂时只支持MD5加密方式:

md5:将$key='www.cent123.com'拼接到参数字符串尾部进行md5加密,格式是:md5(bar=2&baz=3&foo=1...$key)

二、调用示例

1)输入参数为:

$parameter = array(

'method' => 'get_info',

'timestamp' => 1483620175,

'format' => 'json',

'user' => 'admin',

'order_id' => 100,

);

2)按照参数名称升序排列:

$parameter = array(

'format' => 'json',

'method' => 'get_info',

'order_id' => 100,

'timestamp' => 1483620175,

'user' => 'admin',

);

3)连接字符串

连接参数名与参数值,并在尾部加上$key,如下:

format=json&method=get_info&order_id=100×tamp=1483620175&user=adminwww.cent123.com

4)生成签名:

32位MD5值 -> 818d0a37efb41f75ff9e86c703cee2d6

5)拼装HTTP请求    sign => 818d0a37efb41f75ff9e86c703cee2d6

sign_type => MD5

sign和sign_type 也会一起作为参数发送

$dataSubmit = new DataSubmit($url);

$html_text = $dataSubmit->buildRequestForm($parameter);

echo $html_text;

DataSubmit.class.php/**

* Created by PhpStorm.

* User: centphp.com

* Date: 2017/1/5

* Time: 16:02

*/

class DataSubmit

{

private $data_config;

function __construct($url = '/', $data_config = array('key' => 'www.cent123.com', 'sign_type' => 'MD5', 'input_charset' => 'utf-8'))

{

$this->url = $url;

$this->data_config = $data_config;

}

/**

* 生成签名结果

* @param $para_sort 已排序要签名的数组

* @return string 签名结果字符串

*/

function buildRequestMysign($para_sort)

{

//把数组所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串

$prestr = createLinkstring($para_sort);

$mysign = "";

switch (strtoupper(trim($this->data_config['sign_type']))) {

case "MD5" :

$mysign = md5($prestr . $this->data_config['key']);

break;

default :

$mysign = "";

}

return $mysign;

}

/**

* 生成要请求给支付宝的参数数组

* @param $para_temp 请求前的参数数组

* @return 要请求的参数数组

*/

function buildRequestPara($para_temp)

{

//除去待签名参数数组中的空值和签名参数

$para_filter = paraFilter($para_temp);

//对待签名参数数组排序

$para_sort = argSort($para_filter);

//生成签名结果

$mysign = $this->buildRequestMysign($para_sort);

//签名结果与签名方式加入请求提交参数组中

$para_sort['sign'] = $mysign;

$para_sort['sign_type'] = strtoupper(trim($this->data_config['sign_type']));

return $para_sort;

}

/**

* 生成要请求给支付宝的参数数组

* @param $para_temp 请求前的参数数组

* @return 要请求的参数数组字符串

*/

function buildRequestParaToString($para_temp)

{

//待请求参数数组

$para = $this->buildRequestPara($para_temp);

//把参数组中所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串,并对字符串做urlencode编码

$request_data = createLinkstringUrlencode($para);

return $request_data;

}

/**

* 建立请求,以表单HTML形式构造(默认)

* @param $para_temp 请求参数数组

* @param $method 提交方式。两个值可选:post、get

* @param $button_name 确认按钮显示文字

* @return 提交表单HTML文本

*/

function buildRequestForm($para_temp, $method = 'post', $button_name = '确认')

{

$this->url = trim($this->url, '?&');

if (strpos($this->url, '?') !== false) {

$this->url .= '&';

} else {

$this->url .= '?';

}

//待请求参数数组

$para = $this->buildRequestPara($para_temp);

$sHtml = "

url . "input_charset=" . trim(strtolower($this->data_config['input_charset'])) . "' method='" . $method . "'>";

while (list ($key, $val) = each($para)) {

$sHtml .= "";

}

//submit按钮控件请不要含有name属性

$sHtml = $sHtml . "

";

$sHtml = $sHtml . "";

//echo $sHtml;

return $sHtml;

}

}

//函数

/**

* 把数组所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串

* @param $para 需要拼接的数组

* @return string 拼接完成以后的字符串

*/

function createLinkstring($para)

{

$arg = "";

while (list ($key, $val) = each($para)) {

$arg .= $key . "=" . $val . "&";

}

//去掉最后一个&字符

$arg = substr($arg, 0, count($arg) - 2);

//如果存在转义字符,那么去掉转义

if (get_magic_quotes_gpc()) {

$arg = stripslashes($arg);

}

return $arg;

}

/**

* 把数组所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串,并对字符串做urlencode编码

* @param $para 需要拼接的数组

* @return string 拼接完成以后的字符串

*/

function createLinkstringUrlencode($para)

{

$arg = "";

while (list ($key, $val) = each($para)) {

$arg .= $key . "=" . urlencode($val) . "&";

}

//去掉最后一个&字符

$arg = substr($arg, 0, count($arg) - 2);

//如果存在转义字符,那么去掉转义

if (get_magic_quotes_gpc()) {

$arg = stripslashes($arg);

}

return $arg;

}

/**

* 除去数组中的空值和签名参数

* @param $para 签名参数组

* @return array 去掉空值与签名参数后的新签名参数组

*/

function paraFilter($para)

{

$para_filter = array();

while (list ($key, $val) = each($para)) {

if ($key == "sign" || $key == "sign_type" || $val == "") continue;

else $para_filter[$key] = $para[$key];

}

return $para_filter;

}

/**

* 对数组排序

* @param $para 排序前的数组

* @return 排序前的数组

*/

function argSort($para)

{

ksort($para);

reset($para);

return $para;

}

测试:include "lib/DataSubmit.class.php";

$parameter = array(

'method' => 'get_info',

'timestamp' => 1483620175,

'format' => 'json',

'user' => 'admin',

'order_id' => 100,

);

$url = './test.php';

$dataSubmit = new DataSubmit($url);

$html_text = $dataSubmit->buildRequestForm($parameter, "post", "确认");

echo $html_text;

根据支付宝支付接口修改

Herizack
关注
jsapi支付签名_PHP实现微信支付(jsapi支付)流程步骤详解
weixin_28972031的博客
02-17 895
最近接触到一个项目,涉及到微信支付,搞微信开发这么久以来,还没搞过支付,之前也就搞过公众号发红包,感谢前辈们的探索,我看了他们的博文,让我少走了很多弯路。前期准备:1.微信认证服务号,并且开通了微信支付方法步骤:1.demo文件处理(1)将官方的demo下载下来,文件名为WxpayAPI_php_v3,把这文件重命名为wxpay,为了后边书写目录方便;(2)打开lib文件夹下的WxPay.Api....
详解用 MiniFramework 框架实现 PHP 对 GET 或 POST 请求参数进行签名校验的方法
11-06 684
在一些特殊场景下,我们可能希望对于 GET 或 POST 进入到接口的数据进行签名和有效期的校验,例如 APP 请求后端接口的场景,我们通常需要考虑两个问题:问题 1:如何避免攻击者在捕获到接口请求后,自行构造请求参数,向接口发送请求,而不通过 APP 的正常界面进行操作。问题 2:在接口请求不可避免能被捕获的情况下,如何确保每一次请求能够过期,不被反复的利用,例如投票刷票的问题。
PHP 使用摘要签名认证方式调用阿里API
l1145374720的博客
01-12 323
php 使用摘要签名认证方式调用API
API常用签名验证方法(PHP实现)
最新发布
ze_mingmingge123的博客
07-09 663
现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用api接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要(hash)签名进行base64_encode编码(便于显性传输和对比),假设签名密钥为 test ,则提取出的摘要签名进行base64_encode的值为。请求的唯一性:计算出的签名是唯一的,可以用来验证
API接口防止参数篡改和重放攻击
热门推荐
Little SunShine
08-17 1万+
API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放...
微信JSAPI调起支付API 签名无效 微信支付如何计算得出的签名
qq_25007459的专栏
08-24 1173
微信支付文档写得真太模糊了,看不大懂,摸索了一整天才整明白如果重新签名 在完成JSAPI下单下订单成功后,需要将对应的参数进行第二次前面, 这个官方文档写得还是很清晰的(如有不懂可私信) https://pay.weixin.qq.com/wiki/doc/apiv3/apis/chapter3_1_1.shtml 下面主要讲解如何二次签名 加载商户秘钥 我采用的是直接秘钥的key值复制到项目里面 可参考微信的 github 里面有两种获取秘钥方式,我把秘钥存储在WxAPIV3S...
微信小程序+PHP 数据签名校验,防止被抓包篡改数据
Simon的博客
03-13 5894
背景年前有款很火爆红包小程序,只要普通话标准,说对了口令即可领取红包。在娱乐的过程中发现,小额的红包很轻松就可以领了,大额的无论怎么尝试也领不了,深入探究后发现里面有点猫腻,即后台可以设定领取红包的难度,以及可领取数量,大额的红包便成了营销手段,迅速吸粉等。好像岔开话题了,我们来言归正传。领取的过程中顺便抓包看了一下请求的数据,发现安全那块做得不是很完善,发现有机可乘,便写了一个程序来篡改数据模拟...
php调用淘宝开放API实现根据卖家昵称获取卖家店铺ID的方法
12-18
2. `createStrParam()` 函数用于组装请求参数,将参数数组转化为URL查询字符串,每个键值对都进行URL编码。 3. `getXmlData()` 函数用于解析返回的XML数据。它使用`simplexml_load_string`函数解析XML,并通过`get_...
PHP开发api接口安全验证操作实例详解
10-15
客户端(通常是前端应用)在请求API,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算结果与客户端提供的签名一致,则认为...
api.php验证,入门调用API验证简单案例
weixin_42305041的博客
03-16 914
入门调用API验证简单案例模式设置位置模式说明自动识别=系统自动失败客户端用那种模式提交,如果不安全性要求不高可以选择自动加密POST=把所有参数组装URL,加密(可以不加密直接URL编码,后台输出明文)URL编码后传递到parameter参数上,通过POST发送出去加密GET=把所有参数组装URL,加密(可以不加密直接URL编码,后台输出明文)URL编码后传递到parameter参数上,通过GE...
基于PHP的QQAPI智能调用系统php版源码.zip
08-28
2. **SDK库**:QQ APIPHP SDK(Software Development Kit)可能包含类库文件,用于简化API调用过程,处理签名验证请求发送和响应解析等任务。 3. **示例代码**:可能包含用于演示如何使用SDK进行API调用的代码...
php js sdk 签名算法,签名算法 · PAYJS API 开发文档
weixin_35860675的博客
03-12 405
签名算法PAYJS 签名算法与微信官方签名算法一致签名生成的通用步骤如下:设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA。在stringA最后拼接上&key=密钥得到stringSignTemp字符串,并对stringS...
php 和app接口验签,「PHP开发APP接口实战008」日常安全防范之签名验证
weixin_28954201的博客
03-17 283
前言互联网很危险!站点安全需要在网站设计和使用的各个方面保持警惕。常见的站点安全威胁有SQL注入跨站脚本 (XSS)攻击跨站请求伪造 (CSRF)攻击恶意访问请求(DDos)攻击由于间和篇幅的关系,这里就不对这些攻击手段的理论部分展开来讲了。以下是参考资料,仅供大家参考学习:站点安全Web开发安全防范注意web开发安全防范十二篇透过现在看本质,我们可以总结出,常见的攻击手段有:通过篡改请求参数,...
js请求php接口安全性,api接口安全策略 - 签名策略
weixin_29022821的博客
03-11 591
安全概述前面章节讲解的接口是裸露的、不安全的!使用post、get模拟可以轻松对api进行请求,最简单的攻击就可以瞬间完成近万会员的注册!所以在进行api接口通讯的同我们应该进行数据的验证工作!加密原理及流程1、从服务器端获取一个唯一性的token,我们称之为 accessToken;2、前端对accessToken进行随机性拆分及md5加密,产生签名(保存在本地存储中);3、前端在与后端进行交...
微信JSAPI支付签名算法(附通用代码)
我就叫贝塔
07-08 3094
签名算法 签名生成的通用步骤如下: 第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA。 特别注意以下重要规则: ◆ 参数名ASCII码从小到大排序(字典序); ◆ 如果参数的值为空不参与签名; ◆ 参数名区分大小写; ◆ 验证调用返回或微信主动通知签名,传送的sign参数不参与签名,将生成的签名与该sign值作校验。 ◆ 微信接口
PHP+api+请求头+版本,解决PHP中缺少“授权”请求标头的问题
weixin_39753857的博客
03-18 307
我目前正在为一个uni项目开发PHP REST API,该项目使用通过PhoneGap从移动Web应用程序传递的JSON Web令牌,或者在开发过程中使用我的桌面.使用ajax将令牌发送到我的服务器页面“ friends / read.PHP,服务器使用以下命令正确获取了Authorization标头$headers = getallheaders();$authHeader = $heade...
php api md5签名,md5签名示例(推荐)
weixin_39778447的博客
03-10 416
```// APP-KEY 与 密钥$api_key = 'XXXXXXXX';$secret_key = 'XXXXXXXXXX';// 计算签名$sign = md5( $api_key . $secret_key );// 公用必备参数$pub_sign = ['api_key' => $api_key,'sign' => $sign,];//...
php api接口验证,PHP开发API接口签名生成及验证操作示例
weixin_34044889的博客
03-09 302
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下:开发过程中,我们经常会与接口打交道,有的候是调取别人网站的接口,有的候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。我们在设计签名验证候,请注意要满足以下几点:可变性:每次的签名必须是不一样的。效性:每次请求效,过期作废等。唯一性:每次的签名是唯一的。完整性:能够对传入数据进行验...
php重放,Api 接口安全-防篡改,防重放理解总结
weixin_33765908的博客
03-23 542
防篡改为什么要防篡改http 是一种无状态的协议, 服务端并不知道客户端发送的请求是否合法, 也并不知道请求中的参数是否正确举个栗子, 现在有个充值的接口, 调用给用户对应的余额http://localhost/api/user/recharge?user_id=1001&amount=10给指定id的用户加上10块钱的余额如果用户id被篡改,余额参数被篡改,也就是说,可以给任何用户加余额...
PHP调用中国气象API实现天气预报
5. **构造请求URL**:`$public_key` 是根据特定算法(SHA1)计算出的基于 `$public_key` 的哈希值,并经过Base64编码,用于请求签名验证。`$URL` 则是完整的API请求URL,包括了所有的参数。 6. **HTTP请求**:`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值