PHP实现API接口签名验证

最新推荐文章于 2025-01-04 10:47:56 发布
最新推荐文章于 2025-01-04 10:47:56 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: Yii
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41981080/article/details/105522957
版权
本文介绍了一种用于确保第三方调用接口时数据安全性的签名认证机制。平台为第三方颁发appId和appSecret,第三方使用appSecret生成签名,平台通过对比签名验证数据有效性。
摘要由CSDN通过智能技术生成

项目需要向外部提供接口,供第三方网站调用,为了保证传输数据的安全性,给项目添加了签名认证的机制,过程大致如下:

一、由我们平台给第三方颁发一个appId和一个appSecret,appId用来传输,appSecret用来生成签名

二、第三方通过拼接appSecret生成签名sign,第三方将数据和appId一起传给我们平台

三、我们平台接收到数据后根据接收到的数据用同样的算法生成签名,通过比对签名确定来进行数据来源的有效性确认

部分代码如下:

一、appId和appSecret的存储表如下:

CREATE TABLE `encrypt` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `public_key` varchar(255) NOT NULL COMMENT '公钥',
  `screct_key` varchar(255) NOT NULL COMMENT '私钥',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4;

二、生成appId和appSecret的方法如下:

    /**
     * 生成Key
     * @access public
     * @return array
     */
    public static function makeKey()
    {
        $appId = strrev(microtime(true)*10000);
        $appSecret = md5(md5($appId.'awen').'awen');
        $model = new \common\models\Encrypt();
        $model->public_key = $appId;
        $model->screct_key = $appSecret;
        $model->save();
        return [
            'appId' => $appId,
            'appSecret' => $appSecret,
        ];
    }

三、签名生成方法:

1. 对所有请求参数进行字典升序排列; 
2. 将以上排序后的参数表进行字符串连接,如key1value1key2value2key3value3...keyNvalueN; 
3. app secret作为后缀,对该字符串进行SHA-1计算,并转换成16进制编码; 
4. 转换为全大写形式后即获得签名串

具体签名生成与对比的代码如下

    /**
     * 验证签名有效性
     * @access public
     * @param array params 参数
     * @param sting sign 签名
     * @param sting appId
     * @return bool 验证结果
     */
    public static function checkSign($params,$sign,$appId)
    {
        //根据appId去数据库找到对应的appSecret
        $appSecret = self::getAppSecret($appId);
        // 1. 对加密数组进行字典排序 防止因为参数顺序不一致而导致下面拼接加密不同
        ksort($params);
        // 2. 将Key和Value拼接
        $str = "";
        foreach ($params as $k => $v) {
            $str.= $k.$v;
        }
        //3. 通过sha1加密并转化为大写
        //4. 大写获得签名
        $restr=$str.$appSecret;
        $signRes = strtoupper(sha1($restr));

        if($signRes == $sign){
            return true;
        }else{
            return false;
        }
    }

四、在basecontroller中添加签名验证代码

    /**
     * 验证签名
     */
    public function beforeAction($action)
    {
        $post = @file_get_contents('php://input');
        \Yii::$app->log->targets[0]->logFile = \Yii::getAlias('@runtime').DIRECTORY_SEPARATOR.'logs'.DIRECTORY_SEPARATOR.'outside.log';
        \Yii::trace('接受的数据为:'.$post);
        //解析成数组
        $post =  json_decode( $post, true );
        $data = $post['data'];
        if(!$data){
            $result = ['status'=> 0, 'message'=>'缺少参数data'];
            return \Yii::$app->response->data = $result;
        }
        $appId = $post['appId'];
        if(!$appId){
            $result = ['status'=> 0, 'message'=>'缺少参数appId'];
            return \Yii::$app->response->data = $result;
        }
        parse_str($data,$params);
        $sign = $params['sign'];
        unset($params['sign']);
        $signCheck = Encrypt::checkSign($params,$sign,$appId);
        if($signCheck){
            $result = ['status'=> 1, 'message'=>'数据正常','params'=>$params,'appId'=>$appId];
        }else{
            $result = ['status'=> 0, 'message'=>'签名错误','params'=>$params,'appId'=>$appId];
        }

        return \Yii::$app->response->data = $result;
    }

 

PHP开发API接口签名生成及验证操作示例
10-15
签名验证方法与生成类似,但主要在于比较接收的签名值与重新计算的签名值是否一致。如果一致,说明数据未被篡改;如果不一致,则可能存在安全问题。 以下是PHP代码实现签名生成和验证的示例: ```php // 设置公钥...
WEB API 接口签名验证入门与实战课程
06-21
通过对API接口编写与请求过程的分析认识到接口请求中的安全问题,并利用签名验证解决这些问题 这些 API数据传输各种安全问题包括: 1、如何接口请求这的合法性 2、如何保证登陆的安全性 3、如何保证请求的参数不被...
PHPAPI接口apiSign生成规则【请求签名参数生成规则】
a898712940的博客
04-28 4232
PHP后端: 一、请求地址示例 1、请求地址 http://www.zhikev2.com/exam/seeTest?timeStamp=1525096310&apiSign=324owefldskfjsdk&userName=luowei 注:timeStamp为当前时间戳 2、参数说明 上述请求地址中附带了三个参数timeStamp、apiSign、userNa...
PHP 开发API接口签名验证
diandu3502的博客
06-29 398
就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床。所谓man-in-the-middle攻击简单讲就是指恶意的黑客可以在客户端和服务器端的明文通信通道上做手 脚,黑客可以监听通信内容,偷取机密信息,甚至可以篡改通信内容,而通过加密后的通信内容理论上是无法被破译的。 URL...
PHP在做api开发中,RSA加密签名算法如何使用 ?
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
01-04 1207
使用的时候分别使用对应的公钥 / 私钥的文件内容即可,我是把公钥和私钥都配置了一行形式 (也就是没有换行符等 方便配置吧)。1. 在通知返回参数列表中,除去 签名参数 (sign ) 以及空的参数 其他的全部都是待签名的参数。一般来说,在一对公私钥中,公钥和私钥都可以用来加密和解密,即公钥加密能且只能被对应的私钥进行解密。签名就是在这份资料后面增加一段强而有力的证明,以此证明这段信息的发布者和这段信息的有效性完整性。在这样的密码系统中,加密密钥是公共的,并且它与保密(私有)的解密密钥不同。
php接口签名验证
weixin_30480075的博客
06-11 170
在做一些api接口设计时候会遇到设置权限问题,比如我这个接口只有指定的用户才能访问。 很多时候api接口是属于无状态的,没办法获取session,就不能够用登录的机制去验证,那么 大概的思路是在请求包带上我们自己构造好的签名,这个签名必须满足下面几点: a、唯一性,签名是唯一的,可验证目标用户 b、可变性,每次携带的签名必须是变化的 c、时效性,具有一定的时效,过期作废 d、完整性,能够对数据包进...
PHP API接口签名的深入探讨
2401_85475862的博客
07-14 457
API接口签名,是指在API请求中,通过一定的算法和密钥对请求参数进行加密处理,生成一个独特的签名值。这个签名值将作为请求的一部分发送给服务器,服务器在接收到请求后,会使用相同的算法和密钥对请求参数进行加密处理,并与请求中的签名值进行比对。通过选择合适的签名算法、确定签名参数、生成签名、发送签名验证签名等步骤,我们可以有效地保护API通信的安全性、完整性和真实性。在编写PHP API接口签名时,需要注意算法的安全性、参数的准确性和验证的可靠性等方面的问题,以确保API通信的安全性和稳定性。
php api接口验证,PHP API接口签名验证
weixin_29153859的博客
03-09 188
/** JavaScript MD5* https://github.com/blueimp/JavaScript-MD5** Copyright 2011, Sebastian Tschan* https://blueimp.net** Licensed under the MIT license:* https://opensource.org/licenses/MIT** Based on*...
PHP开发api接口安全验证操作实例详解
10-15
本文将深入探讨如何在PHP实现API接口的安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些...
API常用签名验证方法(PHP实现)
Anzexi123的博客
07-27 720
现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要(hash)签名并进行base64_encode编码(便于显性传输和对比),假设签名密钥为 test ,则提取出的摘要签名并进行base64_encode的值为。请求的唯一性:计算出的签名是唯一的,可以用来验证
API接口对接生成签名验证签名
11-01
API接口生成签名验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
PHP开发API接口签名生成及验证
qjj199408的博客
09-30 704
开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 我们在设计签名验证的时候,请注意要满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效,过期作废等。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 一、签名参数sign生成的方法 第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。 第2步: 然后把排序后的参数按参数1值1
php篇 | API查询接口签名代码大全
KuaiDNiao的博客
01-04 303
此文章供各位程序员学习参考,后续我将会继续分享各语言的快递单号查询接口教程、干货,敬请期待。
php api接口验证签名错误,API常用签名验证方法(PHP实现)
weixin_35649143的博客
03-11 662
使用场景现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。API签名验证这里我们引入业内比较通用的签名验证来对接口进行参数加密,有以下优势。请求的唯一性:计算出的签名是唯一的,可以用来验证。参数的可变性:参数中包含时间戳参...
php api验证签名
xiaoyun888_的博客
03-17 295
大概逻辑就是:客服端发来post数据,在发送的时候给数据加一个sign字段,字段内容是客户端和服务端通过appid和serect进行加密的字符串,客户端和服务端的appid和serect是一样的。 服务端收到数据后,把数据按照客户端一样的方式生成sign,再进行比较,相等则说明通过,验签主要是为了验证是否是指定用户发来的请求。避免安全隐患 <?php namespace ThreeTrafficNanchang\Controller; use ThreeTrafficNanchang\Mode.
php 签名验证
liuqun of program life
12-11 588
传到其他系统的参数,按照字母顺序排序,参数拼接后加token生成签名 下游系统接收参数,用相同的token和参数拼接后生成,对比是否相同,相同进行下一步操作,否则抛出异常。对称加密 /** * @param $param * @param string $strSecretKey * @return bool|string * 生成签名 *...
php接口Sign校验
代元培
05-09 1394
&lt;?php namespace App\Librarys; class SignUtil{ /** * @param array $params * @return string */ public static function getCheckSign($params) { $arrSign = []; ksor...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值