php 参数排序 计算sign_PHP API权限设计总结-系统sign验证规则

最新推荐文章于 2024-04-25 15:54:14 发布
最新推荐文章于 2024-04-25 15:54:14 发布
阅读量314 收藏
点赞数
文章标签: php 参数排序 计算sign
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36105232/article/details/114355939
版权

e1e361918bb186d3d3f3d01069da269e.png

网络安全越来越发达的今天, 系统安全是每一位开发者都需要考虑的问题, 比如用户注册, 如果提交的数据不做安全验证, 那么有些人或许会提交一堆的垃圾数据,久而久之你的数据库中的僵死数据会非常的多,影响正常数据的查询效率,同时你的系统也许就在某一天over了。所以安全一直都是我们工作考虑的重点。那么一般都会对提交的数据做安全的验证 比如通用的sign加密验证, sign 究竟是怎么个验证方法呢?

1.    首先是数据库api, 表结构的设计取决于自己的情况, 最基本的设计:

字段

type

Is null

Auto_increment

comment

id

Int(11)

not

自增id

Api_name

Varchar(25)

Not null

应用的名称

key

Varchar(32)

Not null

应用的key

secret

Varchar(32)

Not null

应用的密钥

2.    上面还没有提到sign究竟是怎么的回事儿呢?

第二步就是生成自己的sign, 每次提交的数据都要加上sign提交给后台。

Sign的算法一般都是采用对提交的数据进行排序后+secret后MD5

$key = "c4ca4238a0b923820dcc509a6f75849b";

$secret = "28c8edde3d61a0411511d3b1866f0636";

如:

$data = array(

'username' => 'sex' => '男',

'age' => '12',

'addr' => '北京市海淀区'

);

// 传递的参数中必须有 key, sign, timestamp

$postData = array(

"key" => $key,

"timestamp" => time()

);

// 一般情况提交到后台的数据在除了要提交的信息还要加上一些验证的数据 ($postData就是这样的数据)

// 将用户提交的数据和必须的参数一起排序(正序或者是倒序都可以, 子要保证验证的算法和加密的算法一致即可)

// 获取sign

function getSign($secret, $data){

// 对数组的值按key排序

ksort($data);

// 生成url的形式

$params = http_build_query($data);

// 生成sign

$sign = md5($params.$secret);

return $sign;

}

//将用户的数据和默认的数据合并

$psotData = array_merge($postData, $data);

// 发送的数据中吧sign带上

$psotData[‘sign’] = getSign($secret, $data);

// 数据组合好后可以吧数据发送到后台

3.     第三步就是在服务器端吧得到的数据进行验证处理.

对必须的参数进行验证:

1)   .  通过key在api的数据库中查找是否存在secret的值,没有则验证失败

2)   .  对传递过来的数据中验证sign参数是否存在, 不存在, 验证失败。

3)   .  对时间’timestamp’参数进行验证,大于10分钟的数据验证失败。

4)   、对出去sign的所有参数进行验证, 生成的sign和传递过来的sign参数是否一致, 不一致验证失败。

5)   . 如果上面的有验证通过后就可以执行下面的逻辑代码.

/**

* 验证sign是否合法

* @param [type] $secret [description]

* @param [type] $data [description]

* @return [type] [description]

*/

function verifySign($secret, $data){

// 验证参数中是否有签名

if (!isset($data['sign']) || !$data['sign']) {

echo '发送的数据签名不存在';

die();

}

if (!isset($data['timestamp']) || !$data['timestamp']) {

echo '发送的数据参数不合法';

die();

}

// 验证请求, 10分钟失效

if (time() - $data['timestamp'] > 600) {

echo '验证失效, 请重新发送请求';

die();

}

$sign = $data['sign'];

unset($data['sign']);

ksort($data);

$params = http_build_query($data);

// $secret是通过key在api的数据库中查询得到

$sign2 = md5($params.$secret);

if ($sign == $sign2) {

die('验证通过');

}else{

die('请求不合法');

}

}

receive.php

// 获取post的数组

$key = "c4ca4238a0b923820dcc509a6f75849b";

// $secret 是存储在数据库中, 可以根据传递过来的key在数据中的查询到secretZ12QAZ12

$secret = "28c8edde3d61a0411511d3b1866f0636";

$data = $_POST;

verifySign($secret, $data);

/**

* 验证sign是否合法

* @param [type] $secret [description]

* @param [type] $data [description]

* @return [type] [description]

*/

function verifySign($secret, $data)

{

// 验证参数中是否有签名

if (!isset($data['sign']) || !$data['sign']) {

echo '发送的数据签名不存在';

die();

}

if (!isset($data['timestamp']) || !$data['timestamp']) {

echo '发送的数据参数不合法';

die();

}

// 验证请求, 10分钟失效

if (time() - $data['timestamp'] > 600) {

echo '验证失效, 请重新发送请求';

die();

}

$sign = $data['sign'];

unset($data['sign']);

ksort($data);

$params = http_build_query($data);

$sign2 = md5($params.$secret);

if ($sign == $sign2) {

die('验证通过');

}else{

die('请求不合法');

}

}

?>

request.php

$key = "c4ca4238a0b923820dcc509a6f75849b";

$secret = "28c8edde3d61a0411511d3b1866f0636";

$data = array(

'username' => '[email protected]',

'sex' => '男',

'age' => '12',

'addr' => '北京市海淀区'

);

// 传递的参数中必须有 key, sign, timestamp

$postData = array(

"key" => $key,

"timestamp" => time()

);

$psotData = array_merge($postData, $data);

$sign = getSign($secret, $psotData);

$postData['sign'] = $sign;

// 获取sign

function getSign($secret, $data)

{

// 对数组的值按key排序

ksort($data);

// 生成url的形式

$params = http_build_query($data);

// 生成sign

$sign = md5($params.$secret);

return $sign;

}

$postData = array_merge($postData, $data);

request($postData);

/**

* 发送服务器的数据

* @param [type] $postData [description]

* @return [type] [description]

*/

function request($postData)

{

$curl = curl_init('http://host/receive.php');

curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);

curl_setopt($curl, CURLOPT_POST, TRUE);

curl_setopt($curl, CURLOPT_POSTFIELDS, $postData);

$info = curl_exec($curl);

curl_close($curl);

print_r($info);

}

叶子粟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
app_v1.0.4_business_xbhz-release_104_jiagu_sign.apk
12-24
app_v1.0.4_business_xbhz-release_104_jiagu_sign.apk
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
php生成签名sign
Sunny
03-13 8418
一、描述就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床。所谓man-in-the-middle攻击简单讲就是指恶意的黑客可以在客户端和服务器端的明文通信通道上做手 脚,黑客可以监听通信内容,偷取机密信息,甚至可以篡改通信内容,而通过加密后的通信内容理论上是无法被破译的。二、url签...
php如何在header增加key,sign,timestamp,怎么实现鉴权?
php-yyds
12-28 1216
服务端鉴权:在服务端接收到请求后,获取请求header中的key、sign和timestamp,然后根据同样的规则和密钥进行签名验证验证的过程与生成sign的过程类似,将接收到的参数按照规则拼接,并使用密钥进行加密,然后与接收到的sign进行比对,如果一致则鉴权通过。生成sign:将需要鉴权的数据(例如请求参数)按照一定规则进行拼接,并使用密钥进行加密,生成sign。请注意,以上代码仅提供了一个基本的鉴权验证示例,实际应用中还需要根据具体的业务逻辑和参数进行调整,并考虑其他安全性和细节方面的处理。
PHPsign加签方法示例
最新发布
q8688的博客
04-25 453
【代码】【PHPsign加签方法示例。
php 参数排序 计算sign_php调接口Sign的校验
weixin_36031812的博客
01-14 134
这篇文章主要介绍了关于php调接口Sign的校验 ,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下
php调接口Sign校验
代元培
05-09 1359
<?php namespace App\Librarys; class SignUtil{ /** * @param array $params * @return string */ public static function getCheckSign($params) { $arrSign = []; ksor...
PHP实现API接口签名验证
weixin_41981080的博客
04-14 1766
项目需要向外部提供接口,供第三方网站调用,为了保证传输数据的安全性,给项目添加了签名认证的机制,过程大致如下: 一、由我们平台给第三方颁发一个appId和一个appSecret,appId用来传输,appSecret用来生成签名 二、第三方通过拼接appSecret生成签名sign,第三方将数据和appId一起传给我们平台 三、我们平台接收到数据后根据接收到的数据用同样的算法生成签名,通过比...
HW1_2_LMS.rar_RLS_adaptive filter_lns_sign-error LMS
09-22
标题“HW1_2_LMS.rar_RLS_adaptive filter_lns_sign-error LMS”提及了两种自适应滤波器算法:最小均方误差(RLS)和基于符号误差的线性预测编码(LNS sign-error LMS)。这些算法都是在线优化滤波器权重,以最优化...
PHP后端实现苹果三方登录/signin-with-apple 授权验证
01-08
关于苹果授权,官方文档写的不仔细,但还是要看一下 https://developer.apple.com/sign-in-with-apple/get-started/ 后端验证苹果授权用户正确性有两种方式,如下: 利用 identity_token 与 user_id 进行校验,匹配...
php 参数排序 计算sign_php 经典排序算法(解析)
weixin_34405261的博客
12-24 334
介绍三种排序算法快速排序选择排序冒泡排序选择排序选择排序(Selection sort)是一种简单直观的排序算法。它的工作原理是每一次从待排序的数据元素中选出最小(或最大)的一个元素,存放在序列的起始位置,直到全部待排序的数据元素排完。 选择排序是不稳定的排序方法(比如序列[5, 5, 3]第一次就将第一个[5]与[3]交换,导致第一个5挪动到第二个5后面)。简单解释首先默认序列的第一个元素为最小...
后端限流php,[PHP高可用后端]②⑤--sign校验
weixin_31528001的博客
04-08 184
image.pngapp.php/*** Created by PhpStorm.* User: tong* Date: 2017/11/20* Time: 11:43*/return ['password_pre_halt' => '_#sing_ty',//密码加密言'aeskey' => 'sgg45747ss223455',//aes密钥,服务端和客户端必须保持一致'appty...
app Sign(签名)认证
php小松
07-29 5470
有个兄弟在群(136351212)里问,有人在恶意调用app里的短信接口,主要是在app上而且是原生的代码,没有办法在app上限制或者让用户更新app,只能从服务端限制ip的方式来处理,我给出的方法是,一个ip能30分钟内只能调用短信接口几次。 这就引出app与服务端接口安全的问题了 上面的兄弟估计没有带安全认证直接get或post接口 如:http://www.phpsong.com/?参数1=
Python加密(MD5)接口参数生成sign
qq_41497271的博客
07-04 1960
Python加密(MD5)接口参数生成sign API签名 为了防止API调用过程中被黑客恶意篡改,调用任何一个API都需要携带签名,TOP服务端会根据请求参数,对签名进行验证,签名不合法的请求将会被拒绝。TOP目前支持的签名算法有: MD5(本接口通用参数里面sign_method的值为md5),签名大体过程如下: 对所有API请求参数(包括公共参数和业务参数,但除去sign参数和byte[]类型的参数),根据参数名称的ASCII码表的顺序排序。如: foo=1, bar=2, foo_bar=3, fo
请求数据通过URL加入sign验证加密与解密
墨的博客
03-28 2733
通过生成sign对网络请求进行加密的算法案例分析
php编写接口需要sign和token的原理
weixin_39127836的博客
05-04 2226
      在我们接入微信,百度等接口时,我们需要秘钥生成sign。每次请求接口时,都需要生成签名。在客户端请求接口时,一般都是秘钥+post参数的形式加密,url的形式发送给接口。服务器接受到参数,通过读取数据库对应的秘钥,以同样的方式进行加密。其实在客户端发送数据前,可以对数据进行加密。php中自带mcrypt扩展,可以在客户端设置key,进入mcrypt加密,加密方式和模式自己百度。服务器同...
php sign签名实例
weixin_30764137的博客
07-12 722
1:实现签名代码: /** * 签名生成算法 * @param array $params API调用的请求参数集合的关联数组,不包含sign参数 * @param string $secret 签名的密钥即获取access token时返回的session secret * @return string 返回参数签名值 */ function g...
WEB API 接口签名sign验证入门与实战
Blueeyedboy521的博客
10-26 4828
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
php数据接口api安全,API接口数据安全之授权码sign
weixin_35682132的博客
03-10 339
**API接口数据安全之授权码sign**>[success] 1. ASE加密方式加密~~~class Aes{private $key = null;/***@param String $key 密钥*@return String*/public funciton __construct(){//配置文件中的asekey 服务端及客户端必须保持一致 且加密key必须为16 、...
转python写法:#!/bin/sh time_stamp=`date +%s` function CheckStop() { if [ $? -ne 0 ]; then echo "execute fail, error on line_no:"$1" exit!!!" exit fi } function GenEcdsaKey() { ec_param_file_path="/tmp/ec_param.pem."$time_stamp openssl ecparam -out $ec_param_file_path -name prime256v1 -genkey CheckStop $LINENO openssl genpkey -paramfile $ec_param_file_path -out $1 CheckStop $LINENO openssl pkey -in $1 -inform PEM -out $2 -outform PEM -pubout CheckStop $LINENO rm $ec_param_file_path echo "gen_ecdsa_key succ prikey_path:"$1" pubkey_path:"$2 } function GenEcdsaSign() { ec_sign_info_file="/tmp/ec_sign_info_file."$time_stamp ec_sign_info_sha256="/tmp/ec_sign_info_sha256."$time_stamp ec_binary_sign_file="/tmp/ec_binary_sign_file."$time_stamp echo -n "$1"_"$2" > $ec_sign_info_file openssl dgst -sha256 -binary -out $ec_sign_info_sha256 $ec_sign_info_file CheckStop $LINENO openssl pkeyutl -sign -in $ec_sign_info_sha256 -out $ec_binary_sign_file -inkey $3 -keyform PEM CheckStop $LINENO openssl base64 -e -in $ec_binary_sign_file -out $4 CheckStop $LINENO rm $ec_sign_info_file $ec_sign_info_sha256 $ec_binary_sign_file echo "gen_ecdsa_sign succ sign_file_path:"$4 } function VerifyEcdsaSign() { ec_sign_info_file="/tmp/ec_sign_info_file."$time_stamp ec_sign_info_sha256="/tmp/ec_sign_info_sha256."$time_stamp ec_binary_sign_file="/tmp/ec_binary_sign_file."$time_stamp echo -n "$1"_"$2" > $ec_sign_info_file openssl dgst -sha256 -binary -out $ec_sign_info_sha256 $ec_sign_info_file CheckStop $LINENO openssl base64 -d -in $4 -out $ec_binary_sign_file CheckStop $LINENO openssl pkeyutl -verify -in $ec_sign_info_sha256 -sigfile $ec_binary_sign_file -pubin -inkey $3 -keyform PEM rm $ec_sign_info_file $ec_sign_info_sha256 $ec_binary_sign_file } function Usage() { echo "Usage:" echo "mmiot_ecdsa_sign.sh gen_ecdsa_key <private_key_file_path> <public_key_file_path>" echo "mmiot_ecdsa_sign.sh gen_ecdsa_sign <product_id> <sn> <private_
05-31
以下是转换后的 Python 代码: ```python #!/usr/bin/env python import os import subprocess import base64 time_stamp = str(int(time.time())) def check_stop(line_no, ret): if ret != 0: print("execute fail, error on line_no: ", line_no, " exit!!!") exit() def gen_ecdsa_key(private_key_file_path, public_key_file_path): ec_param_file_path = "/tmp/ec_param.pem." + time_stamp ret = subprocess.call(["openssl", "ecparam", "-out", ec_param_file_path, "-name", "prime256v1", "-genkey"]) check_stop(sys._getframe().f_lineno, ret) ret = subprocess.call(["openssl", "genpkey", "-paramfile", ec_param_file_path, "-out", private_key_file_path]) check_stop(sys._getframe().f_lineno, ret) ret = subprocess.call(["openssl", "pkey", "-in", private_key_file_path, "-inform", "PEM", "-out", public_key_file_path, "-outform", "PEM", "-pubout"]) check_stop(sys._getframe().f_lineno, ret) os.remove(ec_param_file_path) print("gen_ecdsa_key succ prikey_path:", private_key_file_path, " pubkey_path:", public_key_file_path) def gen_ecdsa_sign(product_id, sn, private_key_file_path, sign_file_path): ec_sign_info_file = "/tmp/ec_sign_info_file." + time_stamp ec_sign_info_sha256 = "/tmp/ec_sign_info_sha256." + time_stamp ec_binary_sign_file = "/tmp/ec_binary_sign_file." + time_stamp with open(ec_sign_info_file, 'w') as f: f.write(product_id + "_" + sn) ret = subprocess.call(["openssl", "dgst", "-sha256", "-binary", "-out", ec_sign_info_sha256, ec_sign_info_file]) check_stop(sys._getframe().f_lineno, ret) ret = subprocess.call(["openssl", "pkeyutl", "-sign", "-in", ec_sign_info_sha256, "-out", ec_binary_sign_file, "-inkey", private_key_file_path, "-keyform", "PEM"]) check_stop(sys._getframe().f_lineno, ret) with open(ec_binary_sign_file, 'rb') as f: sign_binary = f.read() sign_base64 = base64.b64encode(sign_binary).decode() with open(sign_file_path, 'w') as f: f.write(sign_base64) os.remove(ec_sign_info_file) os.remove(ec_sign_info_sha256) os.remove(ec_binary_sign_file) print("gen_ecdsa_sign succ sign_file_path:", sign_file_path) def verify_ecdsa_sign(product_id, sn, public_key_file_path, sign_file_path): ec_sign_info_file = "/tmp/ec_sign_info_file." + time_stamp ec_sign_info_sha256 = "/tmp/ec_sign_info_sha256." + time_stamp ec_binary_sign_file = "/tmp/ec_binary_sign_file." + time_stamp with open(ec_sign_info_file, 'w') as f: f.write(product_id + "_" + sn) ret = subprocess.call(["openssl", "dgst", "-sha256", "-binary", "-out", ec_sign_info_sha256, ec_sign_info_file]) check_stop(sys._getframe().f_lineno, ret) with open(sign_file_path, 'r') as f: sign_base64 = f.read() sign_binary = base64.b64decode(sign_base64) with open(ec_binary_sign_file, 'wb') as f: f.write(sign_binary) ret = subprocess.call(["openssl", "pkeyutl", "-verify", "-in", ec_sign_info_sha256, "-sigfile", ec_binary_sign_file, "-pubin", "-inkey", public_key_file_path, "-keyform", "PEM"]) os.remove(ec_sign_info_file) os.remove(ec_sign_info_sha256) os.remove(ec_binary_sign_file) print("verify_ecdsa_sign result:", "succ" if ret == 0 else "fail") if len(sys.argv) < 2: print("Usage:") print("python mmiot_ecdsa_sign.py gen_ecdsa_key <private_key_file_path> <public_key_file_path>") print("python mmiot_ecdsa_sign.py gen_ecdsa_sign <product_id> <sn> <private_key_file_path> <sign_file_path>") print("python mmiot_ecdsa_sign.py verify_ecdsa_sign <product_id> <sn> <public_key_file_path> <sign_file_path>") exit() if sys.argv[1] == "gen_ecdsa_key": gen_ecdsa_key(sys.argv[2], sys.argv[3]) elif sys.argv[1] == "gen_ecdsa_sign": gen_ecdsa_sign(sys.argv[2], sys.argv[3], sys.argv[4], sys.argv[5]) elif sys.argv[1] == "verify_ecdsa_sign": verify_ecdsa_sign(sys.argv[2], sys.argv[3], sys.argv[4], sys.argv[5]) else: print("Usage:") print("python mmiot_ecdsa_sign.py gen_ecdsa_key <private_key_file_path> <public_key_file_path>") print("python mmiot_ecdsa_sign.py gen_ecdsa_sign <product_id> <sn> <private_key_file_path> <sign_file_path>") print("python mmiot_ecdsa_sign.py verify_ecdsa_sign <product_id> <sn> <public_key_file_path> <sign_file_path>") ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值