开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。
我们在设计签名验证的时候,请注意要满足以下几点:
- 时效性:每次请求的时效,过期作废等。
- 唯一性:每次的签名是唯一的。
- 完整性:能够对传入数据进行验证,防止篡改。
生成签名时需要设置一个密钥(secret),只有发送方,和接收方知道。
请求方:
将请求参数,签名sign除外,进行升序排列。然后转为字符串,按照双方约定的加密方式进行加密
ksort($data);//对参数数组进行升序排列
$json_str = json_encode($data, JSON_UNESCAPED_UNICODE);//转为字符串形式
$busiContent = openssl_encrypt($json_str, 'des-ecb', $this->SecretKey);//加密
然后发送请求时加上签名sign参数
接收方:
1.验证参数中是否有签名
2.验证请求, 10分钟失效
3.验证签名是否正确。将参数去除接收到的参数去除sign后,根据双发规定好的sign签名生成规则重新生成签名,与接收到的签名进行对比,判断签名是否正确。