php 参数排序 计算sign_PHP API权限设计总结-系统sign验证规则

最新推荐文章于 2024-04-25 15:54:14 发布
最新推荐文章于 2024-04-25 15:54:14 发布
阅读量314 收藏
点赞数
文章标签: php 参数排序 计算sign
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36105232/article/details/114355939
版权

e1e361918bb186d3d3f3d01069da269e.png

网络安全越来越发达的今天, 系统安全是每一位开发者都需要考虑的问题, 比如用户注册, 如果提交的数据不做安全验证, 那么有些人或许会提交一堆的垃圾数据,久而久之你的数据库中的僵死数据会非常的多,影响正常数据的查询效率,同时你的系统也许就在某一天over了。所以安全一直都是我们工作考虑的重点。那么一般都会对提交的数据做安全的验证 比如通用的sign加密验证, sign 究竟是怎么个验证方法呢?

1.    首先是数据库api, 表结构的设计取决于自己的情况, 最基本的设计:

字段

type

Is null

Auto_increment

comment

id

Int(11)

not

自增id

Api_name

Varchar(25)

Not null

应用的名称

key

Varchar(32)

Not null

应用的key

secret

Varchar(32)

Not null

应用的密钥

2.    上面还没有提到sign究竟是怎么的回事儿呢?

第二步就是生成自己的sign, 每次提交的数据都要加上sign提交给后台。

Sign的算法一般都是采用对提交的数据进行排序后+secret后MD5

$key = "c4ca4238a0b923820dcc509a6f75849b";

$secret = "28c8edde3d61a0411511d3b1866f0636";

如:

$data = array(

'username' => 'sex' => '男',

'age' => '12',

'addr' => '北京市海淀区'

);

// 传递的参数中必须有 key, sign, timestamp

$postData = array(

"key" => $key,

"timestamp" => time()

);

// 一般情况提交到后台的数据在除了要提交的信息还要加上一些验证的数据 ($postData就是这样的数据)

// 将用户提交的数据和必须的参数一起排序(正序或者是倒序都可以, 子要保证验证的算法和加密的算法一致即可)

// 获取sign

function getSign($secret, $data){

// 对数组的值按key排序

ksort($data);

// 生成url的形式

$params = http_build_query($data);

// 生成sign

$sign = md5($params.$secret);

return $sign;

}

//将用户的数据和默认的数据合并

$psotData = array_merge($postData, $data);

// 发送的数据中吧sign带上

$psotData[‘sign’] = getSign($secret, $data);

// 数据组合好后可以吧数据发送到后台

3.     第三步就是在服务器端吧得到的数据进行验证处理.

对必须的参数进行验证:

1)   .  通过key在api的数据库中查找是否存在secret的值,没有则验证失败

2)   .  对传递过来的数据中验证sign参数是否存在, 不存在, 验证失败。

3)   .  对时间’timestamp’参数进行验证,大于10分钟的数据验证失败。

4)   、对出去sign的所有参数进行验证, 生成的sign和传递过来的sign参数是否一致, 不一致验证失败。

5)   . 如果上面的有验证通过后就可以执行下面的逻辑代码.

/**

* 验证sign是否合法

* @param [type] $secret [description]

* @param [type] $data [description]

* @return [type] [description]

*/

function verifySign($secret, $data){

// 验证参数中是否有签名

if (!isset($data['sign']) || !$data['sign']) {

echo '发送的数据签名不存在';

die();

}

if (!isset($data['timestamp']) || !$data['timestamp']) {

echo '发送的数据参数不合法';

die();

}

// 验证请求, 10分钟失效

if (time() - $data['timestamp'] > 600) {

echo '验证失效, 请重新发送请求';

die();

}

$sign = $data['sign'];

unset($data['sign']);

ksort($data);

$params = http_build_query($data);

// $secret是通过key在api的数据库中查询得到

$sign2 = md5($params.$secret);

if ($sign == $sign2) {

die('验证通过');

}else{

die('请求不合法');

}

}

receive.php

// 获取post的数组

$key = "c4ca4238a0b923820dcc509a6f75849b";

// $secret 是存储在数据库中, 可以根据传递过来的key在数据中的查询到secretZ12QAZ12

$secret = "28c8edde3d61a0411511d3b1866f0636";

$data = $_POST;

verifySign($secret, $data);

/**

* 验证sign是否合法

* @param [type] $secret [description]

* @param [type] $data [description]

* @return [type] [description]

*/

function verifySign($secret, $data)

{

// 验证参数中是否有签名

if (!isset($data['sign']) || !$data['sign']) {

echo '发送的数据签名不存在';

die();

}

if (!isset($data['timestamp']) || !$data['timestamp']) {

echo '发送的数据参数不合法';

die();

}

// 验证请求, 10分钟失效

if (time() - $data['timestamp'] > 600) {

echo '验证失效, 请重新发送请求';

die();

}

$sign = $data['sign'];

unset($data['sign']);

ksort($data);

$params = http_build_query($data);

$sign2 = md5($params.$secret);

if ($sign == $sign2) {

die('验证通过');

}else{

die('请求不合法');

}

}

?>

request.php

$key = "c4ca4238a0b923820dcc509a6f75849b";

$secret = "28c8edde3d61a0411511d3b1866f0636";

$data = array(

'username' => '[email protected]',

'sex' => '男',

'age' => '12',

'addr' => '北京市海淀区'

);

// 传递的参数中必须有 key, sign, timestamp

$postData = array(

"key" => $key,

"timestamp" => time()

);

$psotData = array_merge($postData, $data);

$sign = getSign($secret, $psotData);

$postData['sign'] = $sign;

// 获取sign

function getSign($secret, $data)

{

// 对数组的值按key排序

ksort($data);

// 生成url的形式

$params = http_build_query($data);

// 生成sign

$sign = md5($params.$secret);

return $sign;

}

$postData = array_merge($postData, $data);

request($postData);

/**

* 发送服务器的数据

* @param [type] $postData [description]

* @return [type] [description]

*/

function request($postData)

{

$curl = curl_init('http://host/receive.php');

curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);

curl_setopt($curl, CURLOPT_POST, TRUE);

curl_setopt($curl, CURLOPT_POSTFIELDS, $postData);

$info = curl_exec($curl);

curl_close($curl);

print_r($info);

}

叶子粟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php微信接口sign算法.zip
08-04
微信接口算法: sign是基于每次交互的数据和商户平台设置的密钥key来计算的。 需要数组首字母排序,拼接数组,拼接key,加密换算来完成。
app_v1.0.4_business_xbhz-release_104_jiagu_sign.apk
12-24
app_v1.0.4_business_xbhz-release_104_jiagu_sign.apk
php生成签名sign
Sunny
03-13 8423
一、描述就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床。所谓man-in-the-middle攻击简单讲就是指恶意的黑客可以在客户端和服务器端的明文通信通道上做手 脚,黑客可以监听通信内容,偷取机密信息,甚至可以篡改通信内容,而通过加密后的通信内容理论上是无法被破译的。二、url签...
php如何在header增加key,sign,timestamp,怎么实现鉴权?
php-yyds
12-28 1219
服务端鉴权:在服务端接收到请求后,获取请求header中的key、sign和timestamp,然后根据同样的规则和密钥进行签名验证验证的过程与生成sign的过程类似,将接收到的参数按照规则拼接,并使用密钥进行加密,然后与接收到的sign进行比对,如果一致则鉴权通过。生成sign:将需要鉴权的数据(例如请求参数)按照一定规则进行拼接,并使用密钥进行加密,生成sign。请注意,以上代码仅提供了一个基本的鉴权验证示例,实际应用中还需要根据具体的业务逻辑和参数进行调整,并考虑其他安全性和细节方面的处理。
PHPsign加签方法示例
最新发布
q8688的博客
04-25 457
【代码】【PHPsign加签方法示例。
php 参数排序 计算sign_php调接口Sign的校验
weixin_36031812的博客
01-14 134
这篇文章主要介绍了关于php调接口Sign的校验 ,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下
php 参数排序 计算sign_[PHP高可用后端]②④--Sign机制解剖
weixin_34043280的博客
12-24 168
image.pngimage.pngimage.pngAes.php/*** Created by PhpStorm.* User: tong* Date: 2017/11/15* Time: 15:48*/namespace app\common\lib;class Aes{private $key = null;/*** Aes constructor.*/function __constru...
HW1_2_LMS.rar_RLS_adaptive filter_lns_sign-error LMS
09-22
标题“HW1_2_LMS.rar_RLS_adaptive filter_lns_sign-error LMS”提及了两种自适应滤波器算法:最小均方误差(RLS)和基于符号误差的线性预测编码(LNS sign-error LMS)。这些算法都是在线优化滤波器权重,以最优化...
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
PHP后端实现苹果三方登录/signin-with-apple 授权验证
01-08
关于苹果授权,官方文档写的不仔细,但还是要看一下 https://developer.apple.com/sign-in-with-apple/get-started/ 后端验证苹果授权用户正确性有两种方式,如下: 利用 identity_token 与 user_id 进行校验,匹配...
php接口安全之sign加密【php
chipang7687的博客
08-16 1101
一、第一步:整理参数 1.举例请求参数为uid=1&time=2019&name=song 2.将参数整理为数组(如果为post请求可以直接得到),并按照key进行排序 比如,上述实例进行排序后的结果为: ['name' => 'song', 'time' =&...
php调接口Sign校验
代元培
05-09 1359
<?php namespace App\Librarys; class SignUtil{ /** * @param array $params * @return string */ public static function getCheckSign($params) { $arrSign = []; ksor...
PHP实现API接口签名验证
weixin_41981080的博客
04-14 1767
项目需要向外部提供接口,供第三方网站调用,为了保证传输数据的安全性,给项目添加了签名认证的机制,过程大致如下: 一、由我们平台给第三方颁发一个appId和一个appSecret,appId用来传输,appSecret用来生成签名 二、第三方通过拼接appSecret生成签名sign,第三方将数据和appId一起传给我们平台 三、我们平台接收到数据后根据接收到的数据用同样的算法生成签名,通过比...
PHP签名生成通用步骤
guoshuaiang的博客
03-31 1051
记录学习算法签名的一刻 签名生成的通用步骤
php 参数排序 计算sign_php 经典排序算法(解析)
weixin_34405261的博客
12-24 334
介绍三种排序算法快速排序选择排序冒泡排序选择排序选择排序(Selection sort)是一种简单直观的排序算法。它的工作原理是每一次从待排序的数据元素中选出最小(或最大)的一个元素,存放在序列的起始位置,直到全部待排序的数据元素排完。 选择排序是不稳定的排序方法(比如序列[5, 5, 3]第一次就将第一个[5]与[3]交换,导致第一个5挪动到第二个5后面)。简单解释首先默认序列的第一个元素为最小...
PHP开发API接口签名生成及验证
qjj199408的博客
09-30 669
开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 我们在设计签名验证的时候,请注意要满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效,过期作废等。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 一、签名参数sign生成的方法 第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。 第2步: 然后把排序后的参数参数1值1
后端限流php,[PHP高可用后端]②⑤--sign校验
weixin_31528001的博客
04-08 184
image.pngapp.php/*** Created by PhpStorm.* User: tong* Date: 2017/11/20* Time: 11:43*/return ['password_pre_halt' => '_#sing_ty',//密码加密言'aeskey' => 'sgg45747ss223455',//aes密钥,服务端和客户端必须保持一致'appty...
php sign排序,PHP gmp_sign()用法及代码示例
weixin_42310670的博客
03-12 96
gmp_sign()是PHP中的内置函数,用于检查给定GMP编号的符号(GNU多重精度:用于大数)。用法:gmp_sign($num)参数:此函数接受一个GMP数字$num作为上述语法中所示的强制参数。此参数可以是PHP 5.6和更高版本中的GMP对象,或者也可以传递数字字符串,只要可以将该字符串转换为数字即可。返回值:该函数检查给定数字$num的符号,并根据数字返回三个值,如下所述:返回1-$n...
php抓取sign_php接口安全之sign加密【php
weixin_29794879的博客
03-08 428
一、第一步:整理参数1.举例请求参数为uid=1&time=2019&name=song2.将参数整理为数组(如果为post请求可以直接得到),并按照key进行排序比如,上述实例进行排序后的结果为:['name' => 'song', 'time' => 2019, 'uid' => 1];3.对value进行转码(urlencode),并换化为排序好的字符串比如...
转python写法:#!/bin/sh time_stamp=`date +%s` function CheckStop() { if [ $? -ne 0 ]; then echo "execute fail, error on line_no:"$1" exit!!!" exit fi } function GenEcdsaKey() { ec_param_file_path="/tmp/ec_param.pem."$time_stamp openssl ecparam -out $ec_param_file_path -name prime256v1 -genkey CheckStop $LINENO openssl genpkey -paramfile $ec_param_file_path -out $1 CheckStop $LINENO openssl pkey -in $1 -inform PEM -out $2 -outform PEM -pubout CheckStop $LINENO rm $ec_param_file_path echo "gen_ecdsa_key succ prikey_path:"$1" pubkey_path:"$2 } function GenEcdsaSign() { ec_sign_info_file="/tmp/ec_sign_info_file."$time_stamp ec_sign_info_sha256="/tmp/ec_sign_info_sha256."$time_stamp ec_binary_sign_file="/tmp/ec_binary_sign_file."$time_stamp echo -n "$1"_"$2" > $ec_sign_info_file openssl dgst -sha256 -binary -out $ec_sign_info_sha256 $ec_sign_info_file CheckStop $LINENO openssl pkeyutl -sign -in $ec_sign_info_sha256 -out $ec_binary_sign_file -inkey $3 -keyform PEM CheckStop $LINENO openssl base64 -e -in $ec_binary_sign_file -out $4 CheckStop $LINENO rm $ec_sign_info_file $ec_sign_info_sha256 $ec_binary_sign_file echo "gen_ecdsa_sign succ sign_file_path:"$4 } function VerifyEcdsaSign() { ec_sign_info_file="/tmp/ec_sign_info_file."$time_stamp ec_sign_info_sha256="/tmp/ec_sign_info_sha256."$time_stamp ec_binary_sign_file="/tmp/ec_binary_sign_file."$time_stamp echo -n "$1"_"$2" > $ec_sign_info_file openssl dgst -sha256 -binary -out $ec_sign_info_sha256 $ec_sign_info_file CheckStop $LINENO openssl base64 -d -in $4 -out $ec_binary_sign_file CheckStop $LINENO openssl pkeyutl -verify -in $ec_sign_info_sha256 -sigfile $ec_binary_sign_file -pubin -inkey $3 -keyform PEM rm $ec_sign_info_file $ec_sign_info_sha256 $ec_binary_sign_file } function Usage() { echo "Usage:" echo "mmiot_ecdsa_sign.sh gen_ecdsa_key <private_key_file_path> <public_key_file_path>" echo "mmiot_ecdsa_sign.sh gen_ecdsa_sign <product_id> <sn> <private_
05-31
以下是转换后的 Python 代码: ```python #!/usr/bin/env python import os import subprocess import base64 time_stamp = str(int(time.time())) def check_stop(line_no, ret): if ret != 0: print("execute fail, error on line_no: ", line_no, " exit!!!") exit() def gen_ecdsa_key(private_key_file_path, public_key_file_path): ec_param_file_path = "/tmp/ec_param.pem." + time_stamp ret = subprocess.call(["openssl", "ecparam", "-out", ec_param_file_path, "-name", "prime256v1", "-genkey"]) check_stop(sys._getframe().f_lineno, ret) ret = subprocess.call(["openssl", "genpkey", "-paramfile", ec_param_file_path, "-out", private_key_file_path]) check_stop(sys._getframe().f_lineno, ret) ret = subprocess.call(["openssl", "pkey", "-in", private_key_file_path, "-inform", "PEM", "-out", public_key_file_path, "-outform", "PEM", "-pubout"]) check_stop(sys._getframe().f_lineno, ret) os.remove(ec_param_file_path) print("gen_ecdsa_key succ prikey_path:", private_key_file_path, " pubkey_path:", public_key_file_path) def gen_ecdsa_sign(product_id, sn, private_key_file_path, sign_file_path): ec_sign_info_file = "/tmp/ec_sign_info_file." + time_stamp ec_sign_info_sha256 = "/tmp/ec_sign_info_sha256." + time_stamp ec_binary_sign_file = "/tmp/ec_binary_sign_file." + time_stamp with open(ec_sign_info_file, 'w') as f: f.write(product_id + "_" + sn) ret = subprocess.call(["openssl", "dgst", "-sha256", "-binary", "-out", ec_sign_info_sha256, ec_sign_info_file]) check_stop(sys._getframe().f_lineno, ret) ret = subprocess.call(["openssl", "pkeyutl", "-sign", "-in", ec_sign_info_sha256, "-out", ec_binary_sign_file, "-inkey", private_key_file_path, "-keyform", "PEM"]) check_stop(sys._getframe().f_lineno, ret) with open(ec_binary_sign_file, 'rb') as f: sign_binary = f.read() sign_base64 = base64.b64encode(sign_binary).decode() with open(sign_file_path, 'w') as f: f.write(sign_base64) os.remove(ec_sign_info_file) os.remove(ec_sign_info_sha256) os.remove(ec_binary_sign_file) print("gen_ecdsa_sign succ sign_file_path:", sign_file_path) def verify_ecdsa_sign(product_id, sn, public_key_file_path, sign_file_path): ec_sign_info_file = "/tmp/ec_sign_info_file." + time_stamp ec_sign_info_sha256 = "/tmp/ec_sign_info_sha256." + time_stamp ec_binary_sign_file = "/tmp/ec_binary_sign_file." + time_stamp with open(ec_sign_info_file, 'w') as f: f.write(product_id + "_" + sn) ret = subprocess.call(["openssl", "dgst", "-sha256", "-binary", "-out", ec_sign_info_sha256, ec_sign_info_file]) check_stop(sys._getframe().f_lineno, ret) with open(sign_file_path, 'r') as f: sign_base64 = f.read() sign_binary = base64.b64decode(sign_base64) with open(ec_binary_sign_file, 'wb') as f: f.write(sign_binary) ret = subprocess.call(["openssl", "pkeyutl", "-verify", "-in", ec_sign_info_sha256, "-sigfile", ec_binary_sign_file, "-pubin", "-inkey", public_key_file_path, "-keyform", "PEM"]) os.remove(ec_sign_info_file) os.remove(ec_sign_info_sha256) os.remove(ec_binary_sign_file) print("verify_ecdsa_sign result:", "succ" if ret == 0 else "fail") if len(sys.argv) < 2: print("Usage:") print("python mmiot_ecdsa_sign.py gen_ecdsa_key <private_key_file_path> <public_key_file_path>") print("python mmiot_ecdsa_sign.py gen_ecdsa_sign <product_id> <sn> <private_key_file_path> <sign_file_path>") print("python mmiot_ecdsa_sign.py verify_ecdsa_sign <product_id> <sn> <public_key_file_path> <sign_file_path>") exit() if sys.argv[1] == "gen_ecdsa_key": gen_ecdsa_key(sys.argv[2], sys.argv[3]) elif sys.argv[1] == "gen_ecdsa_sign": gen_ecdsa_sign(sys.argv[2], sys.argv[3], sys.argv[4], sys.argv[5]) elif sys.argv[1] == "verify_ecdsa_sign": verify_ecdsa_sign(sys.argv[2], sys.argv[3], sys.argv[4], sys.argv[5]) else: print("Usage:") print("python mmiot_ecdsa_sign.py gen_ecdsa_key <private_key_file_path> <public_key_file_path>") print("python mmiot_ecdsa_sign.py gen_ecdsa_sign <product_id> <sn> <private_key_file_path> <sign_file_path>") print("python mmiot_ecdsa_sign.py verify_ecdsa_sign <product_id> <sn> <public_key_file_path> <sign_file_path>") ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值