226 PHP做API开发该如何设计签名验证

于 2022-09-04 18:40:06 发布
阅读量135 收藏
点赞数
分类专栏: PHP 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39534472/article/details/126688179
版权

我们在设计签名验证的时候,请注意要满足以下几点:

可变性:每次的签名必须是不一样的。
时效性:每次请求的时效,过期作废等。
唯一性:每次的签名是唯一的。
完整性:能够对传入数据进行验证,防止篡改。
这里介绍一种方式,是目前主流公司常用的一种方式,支付宝支付接口、淘宝开放平台接口、腾讯开放平台等应用的一种方式。

一、签名参数sign生成的方法

第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。
第2步: 然后把排序后的参数按参数1值1参数2值2…参数n值n(这里的参数和值必须是传输参数的原始值,不能是经过处理的,如不能将"转成”后再拼接)的方式拼接成一个字符串。
第3步: 把分配给接入方的验证密钥key拼接在第2步得到的字符串前面。
第4步: 在上一步得到的字符串前面加上验证密钥key(这里的密钥key是接口提供方分配给接口接入方的),然后计算md5值,得到32位字符串,然后转成大写。
第5步: 计算第3步字符串的md5值(32位),然后转成大写,得到的字符串作为sign的值。
举例:
假设传输的数据是/interface.php?sign=sign_value&p2=v2& p1=v1&method=cancel&p3=&pn=vn(实际情况最好是通过post方式发送),其中sign参数对应的sign_value就是签名的值。


<?php

// 设置一个公钥(key)和私钥(secret),公钥用于区分用户,私钥加密数据,不能公开
$key = "c4ca4238a0b923820dcc509a6f75849b";
$secret = "28c8edde3d61a0411511d3b1866f0636";

// 待发送的数据包
$data = array(
    'username' => 'abc@qq.com',
    'sex' => '1',
    'age' => '16',
    'addr' => 'guangzhou',
    'key' => $key,
    'timestamp' => time(),
);

// 获取sign
function getSign($secret, $data) {
    // 对数组的值按key排序
    ksort($data);
    // 生成url的形式
    $params = http_build_query($data);
    // 生成sign
    $sign = md5($params . $secret);
    return $sign;
}

// 发送的数据加上sign
$data['sign'] = getSign($secret, $data);

/**
 * 后台验证sign是否合法
 * @param  [type] $secret [description]
 * @param  [type] $data   [description]
 * @return [type]         [description]
 */
function verifySign($secret, $data) {
    // 验证参数中是否有签名
    if (!isset($data['sign']) || !$data['sign']) {
        echo '发送的数据签名不存在';
        die();
    }
    if (!isset($data['timestamp']) || !$data['timestamp']) {
        echo '发送的数据参数不合法';
        die();
    }
    // 验证请求, 10分钟失效
    if (time() - $data['timestamp'] > 600) {
        echo '验证失效, 请重新发送请求';
        die();
    }
    $sign = $data['sign'];
    unset($data['sign']);
    ksort($data);
    $params = http_build_query($data);
    // $secret是通过key在api的数据库中查询得到
    $sign2 = md5($params . $secret);
    if ($sign == $sign2) {
        die('验证通过');
    } else {
        die('请求不合法');
    }
}
?>
米洛口
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP API签名
susy_liang的博客
10-09 256
实际普通项目中API签名验证 主要是参数和有效性验证,这两个基本能满足API开发验证了。 请求有效性验证 每次请求都带上时间戳timestamp,服务端校验其是否在有效期内。 安全性要求更高的,客户端请求参数加上随机字符串nonce。 服务端redis记录timestamp+nonce并设置有效期。 API签名验证步骤: 1.按照键名对请求参数进行升序排序:ksort; 2.请求参数键名和键值拼...
PHP开发API接口签名生成及验证操作示例
01-21
我们在设计签名验证的时候,请注意要满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效,过期作废等。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 一...
PHP开发API接口签名生成及验证
qjj199408的博客
09-30 674
开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 我们在设计签名验证的时候,请注意要满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效,过期作废等。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 一、签名参数sign生成的方法 第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。 第2步: 然后把排序后的参数按参数1值1
API 接口签名生成及验证
Bug_Curry的博客
10-14 1793
PHP 开发 API 接口签名生成及验证前言一、接口签名是什么?二、设计签名1.满足条件及注意事项2.生成签名参数(sing)签名验证 前言 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的 时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 提示:以下是本篇文章正文内容,下面案例可供参考 一、接口签名是什么? 是为了防止发送的信息被串改,发送方通过将一些字段要素按一定的规则排序后,在转化成json字符串,通过MD5加密机制发送,当接收方接受到请求后需要验证该信
php 参数排序 计算sign_PHP实现四种基本排序算法
weixin_33669545的博客
12-24 403
前提:分别用冒泡排序法,快速排序法,选择排序法,插入排序法将下面数组中的值按照从小到大的顺序进行排序。$arr(1,43,54,62,21,66,32,78,36,76,39);1.冒泡排序思路分析:在要排序的一组数中,对当前还未排好的序列,从前往后对相邻的两个数依次进行比较和调整,让较大的数往下沉,较小的往上冒。即,每当两相邻的数比较后发现它们的排序与排序要求相反时,就将它们互换。代码实现:$...
接口校验方法 PHP,php调接口Sign的校验
weixin_36307344的博客
04-01 325
这篇文章主要介绍了关于php调接口Sign的校验 ,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下
php 签名排序,php 签名 验签
weixin_29570795的博客
03-18 368
// 设置一个公钥(key)和私钥(secret),公钥用于区分用户,私钥加密数据,不能公开$key = "c4ca4238a0b923820dcc509a6f75849b";$secret = "28c8edde3d61a0411511d3b1866f0636";echo md5($secret)."";// 待发送的数据包/* $data = array('username' => 'a...
PHP开发api接口安全验证操作实例详解
10-15
PHP开发中,API接口的安全验证是至关重要的,它能防止未经授权的第三方恶意调用接口,保护系统的数据安全。本文将深入探讨如何在PHP中实现API接口的安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先...
WEB API 接口签名验证入门与实战课程
06-21
通过对API接口编写与请求过程的分析认识到接口请求中的安全问题,并利用签名验证解决这些问题 这些 API数据传输各种安全问题包括: 1、如何接口请求这的合法性 2、如何保证登陆的安全性 3、如何保证请求的参数不被...
API接口对接生成签名验证签名
11-01
接收端收到数据后,也需要按照相同的步骤进行签名验证,以确保数据的完整性和安全性。 1. **解密参数**: - 对接收到的数据进行解密。 - 示例代码如下: ```php $decrypted_data = json_decode(openssl_decrypt...
PHP 开发API接口签名验证
diandu3502的博客
06-29 372
就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床。所谓man-in-the-middle攻击简单讲就是指恶意的黑客可以在客户端和服务器端的明文通信通道上手 脚,黑客可以监听通信内容,偷取机密信息,甚至可以篡改通信内容,而通过加密后的通信内容理论上是无法被破译的。 URL...
使用php的ksort函数对数组排序生成sign签名的方法
徊忆羽菲
07-13 613
使用php的ksort函数对数组排序生成sign签名的方法 function getSign($params) { unset($params['sign']); ksort($params); echo "params<pre>"; print_r($params); echo "<hr>"; $str = ''; foreach ($params as $k => $v) { $str .= $k .
PHP】SIGN生成签名,参数排序拼接字符串
weixin_33827590的博客
05-02 1901
生成规则:1.sign不参加验签 2.参数为空不参加验签 3.以&拼接 1 /** 2 * 参数排序 3 * 4 * @param array $param 5 * @return string 6 */ 7 public static function _getSortParams($pa...
【区块链】BLS门限签名介绍及实现
Sanayeah的博客
12-20 6085
介绍BLS数字签名的实现,BLS数字签名来实现门限签名的过程,配了JAVA的实现。
php 参数排序 计算sign_PHP 基数排序(计数排序实现)
weixin_33445134的博客
12-24 271
#基数排序,此处仅对正整数进行排序,至于负数和浮点数,需要用到补码,各位有兴趣自行研究#计数排序#@param $arr 待排序数组#@param $digit_num 根据第几位数进行排序function counting_sort(&$arr, $digit_num = false) {if ($digit_num !== false) { #如果参数$digit_num不为空,则根据...
php 参数排序 计算sign_[PHP高可用后端]②④--Sign机制解剖
weixin_34043280的博客
12-24 192
image.pngimage.pngimage.pngAes.php/*** Created by PhpStorm.* User: tong* Date: 2017/11/15* Time: 15:48*/namespace app\common\lib;class Aes{private $key = null;/*** Aes constructor.*/function __constru...
PHP正则按照从大到小的SIGN签名算法
aoxiangchina的博客
08-15 113
<?php /** * 签名算法 * @param unknown $key_id S_KEY(商户KEY) * @param unknown $array 例子:$array = array('amount'=>'1.00','out_trade_no'=>'2018123645787452'); * @return string * @https://www.bang4.cn作者 */ function sign ($key_id, $array) { $data = md5(sp..
php 参数排序 计算sign_php 经典排序算法(解析)
weixin_34405261的博客
12-24 359
介绍三种排序算法快速排序选择排序冒泡排序选择排序选择排序(Selection sort)是一种简单直观的排序算法。它的工作原理是每一次从待排序的数据元素中选出最小(或最大)的一个元素,存放在序列的起始位置,直到全部待排序的数据元素排完。 选择排序是不稳定的排序方法(比如序列[5, 5, 3]第一次就将第一个[5]与[3]交换,导致第一个5挪动到第二个5后面)。简单解释首先默认序列的第一个元素为最小...
PHP实现API接口签名验证
最新发布
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串。 2. 将待签名字符串和应用程序的appsecret进行拼接,然后通过哈希算法(如SHA1或MD5)计算得到签名值。 3. 将签名值作为参数(通常是sign或signature)添加到原有的请求参数中,然后发送请求。 4. 服务器接收到请求后,按照同样的方式计算签名,将计算出的签名值与请求中的签名值进行比对,如果一致则认为请求合法,否则认为请求不合法。 以下是一个简单的示例代码: ```php <?php // 定义应用程序的appsecret $appsecret = "your_app_secret"; // 获取请求参数 $params = $_POST; // 按照参数名进行字典排序 ksort($params); // 将参数名和参数值用等号连接起来,每个键值对之间用&符号连接起来,得到待签名字符串 $sign_str = ""; foreach ($params as $key => $value) { $sign_str .= $key . "=" . $value . "&"; } $sign_str .= "appsecret=" . $appsecret; // 计算签名值 $sign = md5($sign_str); // 验证签名 if ($sign != $params['sign']) { // 签名验证失败 echo "Invalid Signature"; } else { // 签名验证成功 // 执行业务逻辑 } ?> ``` 在实际应用中,为了增加安全性,可以使用更加复杂的签名算法,如RSA数字签名等。另外,还可以限制请求的时间戳和nonce值,防止重放攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值