php hmac验证,php – 使用hmac保护javascript客户端

最新推荐文章于 2024-04-25 18:19:41 发布
最新推荐文章于 2024-04-25 18:19:41 发布
阅读量141 收藏
点赞数
文章标签: php hmac验证

我正在研究如何保护我正在处理的javascript应用程序.该应用程序是一个聊天客户端,它使用APE(Ajax Push Engine)作为后端.

目前,任何人都可以访问该页面并向APE服务器发出GET / POST请求.我只想为注册用户提供聊天客户端,我想确保只接受他们的请求.我可以使用PHP的用户名/密码验证来为用户提供页面.但是一旦他们有了这个页面,有什么可以阻止他们修改javascript或让它落入坏人之手?

我有另一个消息来源说这是一个javascript客户端的理想选择,因为它不依赖于发送私钥.但这怎么可能呢?根据上面的教程,客户端需要提供私钥.这似乎不太安全,因为拥有javascript的任何人现在都拥有该用户的私钥.根据我的理解,它可以像这样工作:

>用户使用用户名和密码登录

> PHP验证用户名和密码,查找用户的私钥并将其插入到javascript中

> Javascript提供签名(使用私钥),以及包含所有APE请求的公钥

> APE将计算的签名与接收的签名进行比较,并决定是否处理请求.

如果javascript应用程序需要知道私钥,这是如何安全的?

谢谢您的帮助!

解决方法:

HMAC身份验证更适合第三方要连接的API.通过向客户端的浏览器写一个cookie来表明他们已经过身份验证,似乎可以更好地为您的应用程序提供服务.然后,对于每个ajax请求,您可以检查该cookie.

编辑:我收回了一些我所说的有关HMAC更好地服务于第三方API的内容.传统上,HMAC每个用户都有自己的私钥.我不认为这对您的申请是必要的.您可以通过保留一个主私钥并为每个用户提供一个唯一的“公共”密钥(我将其称为公钥,但实际上用户永远不会知道该密钥)来逃脱.当用户登录时,我会写两个cookie.一个是加密的用户公钥时间戳和另一个说明时间戳是什么的键的组合.然后在服务器端,您可以验证加密密钥并检查时间戳是否在给定阈值内(例如10-30分钟,以防他们在您的应用程序中闲置).如果他们已经过验证,请更新加密密钥和时间戳,冲洗并重复.

标签:hmac,javascript,php,ajax-push

来源: https://codeday.me/bug/20191006/1860916.html

老杨的诗和远方
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP实现HMAC算法(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
04-25 38
PHP实现HMAC算法(附完整源码)
php hmac验证,用Python中的flask验证Hmac(参考PHP和RUBY)
weixin_36403956的博客
03-20 136
除了不需要json.dumps请求数据之外,您几乎是对的。这很可能会在输出中引入更改,例如格式更改,这些更改与原始数据不匹配,这意味着HMAC将失败。在例如{"id":"fd87d909-fbfc-466c-964a-5478d5bc066a"}不同于:^{pr2}$实际上是:{x0ax20x20"id":"fd87d909-fbfc-466c-964a-5478d5bc066a"x0a}两个输入...
php hmac验证,python 的hmacphp的hash_hmac的签名校验
weixin_39575775的博客
03-20 87
引入库:from urllib import quote, urlencodeimport urllib2import timeimport uuidimport hmac, hashlib关键代码:items=request.params.get('items','')gid=request.params.get('gid','')platform=request.params.get('pla...
php hmac,PHP签名验证之hash_hmac sha1
weixin_32049849的博客
03-09 3117
前言secret_id: 密钥的Idsecret_key: 密钥的KeySHA1: 签名方式hash_hmac: php hash函数hash_hmac_file:生成密钥1.生成secret_keyhash_hmac_file('SHA1','signature.txt','secret');2.生成签名base64_encode(hash_hmac('S...
php hmac,PHP安全:MAC和HMAC
weixin_39883208的博客
03-09 220
原标题:PHP安全:MAC和HMAC消息认证码(Message Authentication Code,MAC)在发送消息的基础上通过Key生成加密摘要,通常被用于检测消息在传输过程中是否被篡改。MAC消息认证过程如图1所示。 图1 MAC消息认证过程在图1所示的消息认证过程中,消息的发送方通过密钥和MAC算法生成MAC数据标记,然后将消息和MAC标签发送到接收方。消息接收方依次使用相同的密钥通过...
signature-php:HMAC-SHA身份验证
05-09
HMAC-SHA身份验证使您可以使用哈希签名为API实现非常简单的密钥/机密身份验证。 发出请求 use PhilipBrown \ Signature \ Token ; use PhilipBrown \ Signature \ Request ; $ data = [ 'name' => 'Philip Brown' ]...
PHP-Secure-Session:使用AES-256和HMAC-SHA256加密和认证PHP会话数据
05-28
使用扩展来提供加密和HMAC-SHA-256身份验证。 类扩展了PHP的默认 ,并且仅在内部保存处理程序上添加了加密层。 会话管理逻辑保持不变,这意味着您可以将SecureSession与PHP扩展提供的所有PHP会话处理程序(如...
api_auth:用于Rails和HTTP客户端HMAC身份验证
02-02
它实现了Amazon Web Services使用的相同身份验证方法(HMAC-SHA1)。 gem将在客户端对您的请求进行签名,并在服务器端对该签名进行身份验证。 如果您的服务器资源被实现为Rails ActiveResource,它将与之集成。 它...
Python hmac模块使用实例解析
12-23
这篇文章主要介绍了Python hmac模块使用实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 hmac模块的作用: 用于验证信息的完整性。 1、hmac消息签名...
paydirekt-php:paydirekt PHP客户端
05-02
paydirekt PHP客户端 PHP客户端实现和示例。 源代码演示了如何使用PHP为paydirekt REST API创建有效请求。要求PHP 5.5或更高版本random_compat(用于加密安全的伪随机字节)开发依赖PHP cURL支持(用于集成测试) ...
digest.js:适用于现代Web浏览器的Javascript中的加密摘要,HMAC和基于密码的密钥派生算法
05-09
摘要 概述 摘要.js是一个实现加密摘要和HMAC算法的javascript库。 摘要.js是为现代Web浏览器设计的,需要支持。 摘要.js已成功使用以下Web浏览器进行了测试: 镀Chrome11 Firefox 4 的Safari 5.1 IE 10 支持的算法: 消化 MD5 SHA-1 SHA-256 消息验证码(MAC) HMAC / MD5 HMAC / SHA-1 HMAC / SHA-256 基于密码的密钥派生功能(PBKDF) PBKDF1 / SHA1 PBKDF1 / MD5 PBKDF2 / HMAC / SHA1 PBKDF2 / HMAC / SHA-256 安装 节点 npm install digest-js 然后 Digest = require ( 'digest-js' ) ; 浏览器 < script type
PHP使用HMAC-SHA1+base64签名方法
家门口种果树,不怕馋
05-23 3943
/**       * @brief 使用HMAC-SHA1算法生成oauth_signature签名值       *       * @param $key 密钥       * @param $str 源串       *       * @return 签名值       */   function getSignature($str, $key) { $signa
php hmac,php hash_hmac函数
weixin_35411439的博客
03-09 923
Hmac_sha1算法给你个js版本的易语言调用var CryptoJS = CryptoJS || (function (Math, undefined) {var C = {};var C_lib = C.lib = {};var Base = C_lib.Base = (function () {function F() {};return {extend: function (over...
PHP实现HMAC-SHA256算法(附完整源码)
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
04-25 122
PHP实现HMAC-SHA256算法(附完整源码)
php hmac,hash_hmac
weixin_42299645的博客
03-09 175
[#11]torben dot egmose at gmail dot com [2009-03-22 11:40:43]HOTPAlgorithmthatworksaccordingtotheRCFhttp://tools.ietf.org/html/draft-mraihi-oath-hmac-otp-04ThetestcasesfromtheRCFdocument...
php加密方式:HMAC方法
weixin_39190732的博客
06-29 1120
$sign = hash_hmac('sha256', $md5str, $mykey);
php实现hmac sha1,PHP利用HMAC-SHA1签名的实现方法
weixin_35348899的博客
03-16 3110
这篇文章主要为大家详细介绍了PHP利用HMAC-SHA1签名的实现方法,具有一定的参考价值,可以用来参考一下。感兴趣的小伙伴,下面一起跟随512笔记的小玲来看看吧!加密算法:使用HMAC-SHA1签名方法代码如下:/*** @brief 使用HMAC-SHA1算法生成oauth_signature签名值** @param $key 密钥* @param $str 源串** @return 签名...
PHP语言, API接口设计数据安全,通过 hash_hmac对数据进行加解密,
qq_34700162的博客
03-17 415
把以上代码放在一个控制器或模型 或自定义的一个类里。就可以尝试访问test方法试下了,跨平台数据传输时 数据安全加密 ,PHP语言, 使用的是hash_hmac加密。在Env配置文件里 配合一个干扰$key, 仅保存在本地。
javascript 如何使用HMAC AHA256加密
06-02
您可以使用 JavaScript 中的 CryptoJS 库来进行 HMAC SHA256 加密。以下是一个示例: ```javascript // 导入 CryptoJS 库 const CryptoJS = require("crypto-js"); // 定义密钥和消息 const key = "mySecretKey"; const message = "Hello, world!"; // 进行 HMAC SHA256 加密 const hash = CryptoJS.HmacSHA256(message, key); // 将加密结果转换为字符串 const hashInBase64 = CryptoJS.enc.Base64.stringify(hash); console.log(hashInBase64); // 输出加密结果 ``` 注意:如果您使用的是浏览器环境,可以直接在 HTML 文件中通过 `<script>` 标签导入 CryptoJS 库,无需使用 `require`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值