php接口开发 安全_PHP开发api接口安全验证

最新推荐文章于 2024-06-11 18:46:34 发布
最新推荐文章于 2024-06-11 18:46:34 发布
阅读量308 收藏 1
点赞数
文章标签: php接口开发 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42144201/article/details/115104021
版权

在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。

验证原理

示意图

baca7d2af728

这里写图片描述

原理

从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。

时间戳:当前时间

随机数:随机生成的随机数

口令:前后台开发时,一个双方都知道的标识,相当于暗号

算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。

前台生成一个签名,当需要访问接口的时候,把时间戳,随机数,签名通过URL传递到后台。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比,一样的话,返回数据。

算法规则

在前后台交互中,算法规则是非常重要的,前后台都要通过算法规则计算出签名,至于规则怎么制定,看你怎么高兴怎么来。

我这个算法规则是

时间戳,随机数,口令按照首字母大小写顺序排序

然后拼接成字符串

进行sha1加密

再进行MD5加密

转换成大写。

前台

这里我并没有实际的前台,直接使用一个PHP文件代替前台,然后通过CURL模拟GET请求。我使用的是TP框架,URL格式是pathinfo格式。

源代码

/**

* Created by PhpStorm.

* User: Administrator

* Date: 2017/3/16 0016

* Time: 15:56

*/

namespace Client\Controller;

use Think\Controller;

class ClientController extends Controller{

const TOKEN = 'API';

//模拟前台请求服务器api接口

public function getDataFromServer(){

//时间戳

$timeStamp = time();

//随机数

$randomStr = $this -> createNonceStr();

//生成签名

$signature = $this -> arithmetic($timeStamp,$randomStr);

//url地址

$url = "http://www.apitest.com/Server/Server/respond/t/{$timeStamp}/r/{$randomStr}/s/{$signature}";

$result = $this -> httpGet($url);

dump($result);

}

//curl模拟get请求。

private function httpGet($url){

$curl = curl_init();

//需要请求的是哪个地址

curl_setopt($curl,CURLOPT_URL,$url);

//表示把请求的数据已文件流的方式输出到变量中

curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);

$result = curl_exec($curl);

curl_close($curl);

return $result;

}

//随机生成字符串

private function createNonceStr($length = 8) {

$chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";

$str = "";

for ($i = 0; $i < $length; $i++) {

$str .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);

}

return "z".$str;

}

/**

* @param $timeStamp 时间戳

* @param $randomStr 随机字符串

* @return string 返回签名

*/

private function arithmetic($timeStamp,$randomStr){

$arr['timeStamp'] = $timeStamp;

$arr['randomStr'] = $randomStr;

$arr['token'] = self::TOKEN;

//按照首字母大小写顺序排序

sort($arr,SORT_STRING);

//拼接成字符串

$str = implode($arr);

//进行加密

$signature = sha1($str);

$signature = md5($signature);

//转换成大写

$signature = strtoupper($signature);

return $signature;

}

}

服务器端

接受前台数据进行验证

源代码

/**

* Created by PhpStorm.

* User: Administrator

* Date: 2017/3/16 0016

* Time: 16:01

*/

namespace Server\Controller;

use Think\Controller;

class ServerController extends Controller{

const TOKEN = 'API';

//响应前台的请求

public function respond(){

//验证身份

$timeStamp = $_GET['t'];

$randomStr = $_GET['r'];

$signature = $_GET['s'];

$str = $this -> arithmetic($timeStamp,$randomStr);

if($str != $signature){

echo "-1";

exit;

}

//模拟数据

$arr['name'] = 'api';

$arr['age'] = 15;

$arr['address'] = 'zz';

$arr['ip'] = "192.168.0.1";

echo json_encode($arr);

}

/**

* @param $timeStamp 时间戳

* @param $randomStr 随机字符串

* @return string 返回签名

*/

public function arithmetic($timeStamp,$randomStr){

$arr['timeStamp'] = $timeStamp;

$arr['randomStr'] = $randomStr;

$arr['token'] = self::TOKEN;

//按照首字母大小写顺序排序

sort($arr,SORT_STRING);

//拼接成字符串

$str = implode($arr);

//进行加密

$signature = sha1($str);

$signature = md5($signature);

//转换成大写

$signature = strtoupper($signature);

return $signature;

}

}

结果

string(57) "{"name":"api","age":15,"address":"zz","ip":"192.168.0.1"}"

总结

这种方法只是其中的一种方法,其实还有很多方法都是可以进行安全验证的。

林John
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Multive:PHP WebAPI框架
04-05
Multive -PHP Web框架 要求 。 。 。 PHP 7.3以上。 MySQL / MariaDB。 快速入门指南 您可以通过运行以下命令来创建新项目: $ composer create-project roufy235/multive 如果还没有,请安装 如果还没有安装gulp-cli ,请安装它。 $ npm install --global gulp-cli 运行npm install 运行gulp以运行默认的Gulp任务 配置与MySQL Server的连接: 默认情况下,FRAMEWORK使用MySQL数据库。 您应该在.env文件中检查并编辑此配置: DB_HOST = '127.0.0.1' DB_NAME = 'yourMySqlDatabase' USER = 'yourMySqlUsername' PASSWORD = 'your
thinkphpapi接口数据安全解决方案之sign检验
荒的博客
04-16 692
sign签名一般用在服务器之间传输。一般api数据安全使用token验证就行。
如何利用 PHP 构建一个安全可靠的 API 接口
最新发布
xy520521的博客
06-11 465
可以使用 PHP 的身份验证库或开源框架来简化实现。API 频率限制:为了防止恶意访问、拒绝服务攻击(DoS)等,可以限制 API 接口的调用频率,并针对恶意行为进行监控和阻止。权限管理:对 API 接口的不同功能和资源进行细分权限管理,确保只有具备相应权限的用户才能调用和操作相关功能。综上所述,以上是构建安全可靠的 API 接口的一些常见措施,可以根据具体需求和业务场景进行相应的调整和扩展。监控与报警:实时监控 API 接口的访问情况和异常行为,并设置相应的报警机制,及时响应并解决问题。
php开发api接口安全验证
ECHO陈文的博客
01-08 679
开发小程序,APP,或者公众号等其他应用的时候,经常用到api接口来回传递数据,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 原理 时间戳:当前时间 随机数:随机生成的随机数 口令:前后台开发时,一个双方都知道的标识,相当于暗号 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。 前台生成一个签名,当需要访...
接口使用jwt返回token_Thinkphp5中使用JWT Token登陆接口验证完整使用详解
weixin_42502122的博客
01-12 1020
JWT 全称 JSON Web Tokens ,是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。它的两大使用场景是:认证和数据交换。一、JWT的优点1、服务端不需要保存传统会话信息,没有跨域传输问题,减小服务器开销。2、jwt构成简单,占用很少的字节,便于传输。3、json格式通用,不同语言之间都可以使用。二、使用JWT进行用户登录鉴权的程① 用户使用用...
ThinkPHP 集成 jwt 技术 token 验证
m0_63622279的博客
08-30 3229
在app/api/route/route.php路由文件中进行使用,进行使用中间件校验token。因为我这个是多应用,然后我就只在index应用(只提供api接口)下设置了token类。在config/middleware.php中注册中间件。
PHP开发api接口安全验证操作实例详解
10-15
PHP开发中,API接口安全验证是至关重要的,它能防止未经授权的第三方恶意调用接口,保护系统的数据安全。本文将深入探讨如何在PHP中实现API接口安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先...
PHP开发api接口安全验证的实例讲解
10-18
下面小编就为大家分享一篇PHP开发api接口安全验证的实例讲解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
thinkphp5前置操作---token验证
07-31 8189
protected $beforeActionList = [ 'valid_token', ]; //验证token protected function valid_token(){ // request()-&gt;isAjax() or die('非法请求'); $token = request()-&gt;param('token'); ...
jQuery实现页面滚动条自动滚动到需要的位置
热门推荐
zhangzeshan
07-23 1万+
代码如下: <script> $(function(){ $('html,body').animate({scrollTop:1000},'slow'); }) </script> 解读代码:在载入html页面的body这一块内容中,实现滚动进行展示body的某一块内容,scrollTop方法 进行滚动1000像素 (像素越大滚动的越下去,也...
php api框架 登录验证码,thinkphp5框架API token身份验证功能【示例】
weixin_28760171的博客
03-21 326
下面由thinkphp教程栏目给大家介绍【示例】thinkphp5框架使用说明:登陆时生成token和刷新用的refresh_token,返回给客户端,客户端收到保存本地localStorage等,每次访问简单的token生成函数(公共函数文件common)function create_token($id,$out_time){return substr(md5($id.$out_time),5...
php app接口安全验证,thinkphp在app接口开发过程中的通讯安全认证
weixin_26875543的博客
03-27 215
写好的接口,如果不经过安全认证就可以直接访问的话,则将对我们网站产生非常大的安全隐患,一些hack可能直接用你的接口去操作数据库,后果无法估量。那么如何才能进行有效的安全验证呢? 这里我采用了微信开发中的access_token机制,让app前端开发工程师通过提交appid和appsecert来获取token,服务器端对token缓存7200秒,客户端如果每次都直接请求token则token每次都...
学习thinkphpapi接口数据安全解决方案之授权sign唯一性支持
徊忆羽菲
01-03 752
学习thinkphpapi接口数据安全解决方案之授权sign唯一性支持背景结合redis缓存Api签名校验类ApiAuthapp配置postman请求 背景 为了保证客户端的每一次请求sign的唯一性,且只能使用一次,所以我们就需要在代码中去判断每次提交的sign是否唯一 结合redis缓存 引用redis缓存 use think\cache\driver\Redis; api模块的控制器公共类 Common.php <?php namespace app\api\controller;
【tp5】表单验证之token
weixin_34372728的博客
08-16 982
1、本场景仅介绍复杂一点的ajax请求带上token验证,普通的form提交不讲 2、原理仅个人理解,如有偏差 欢迎各路大神指点:框架tp5.0.18  目前将token放置于 ajax的header头部,发现在后台验证时候,一直报错【验证令牌不存在】。  故将token放置于 ajax的data参数中。  后台每进行一次ajax提交,均需要进行token重新生成、替换,不管成功与否。(强烈建议阅...
PHP如何token验证,手把手教学
weixin_41733299的博客
07-09 3888
讲解如何php获取前端的token
thinkphp5 token验证
weixin_30254435的博客
06-14 666
$data_check['__token__'] = trim($data['__token__']);$validate = new Validate([ '__token__' => 'require|token']);if (!$validate->check($data_check)) { dump($validate->getError());}else{ ...
Token详解及安全验证
qq_59125846的博客
05-18 5964
解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。里面包含了使用的算法,这个 JWT 是不是带签名的或者加密的。
ThinkPHP5开发API数据安全相关解决方案
坚持硬核
07-07 1347
0x00 四种API数据安全问题 接口请求地址 和 参数暴露 重要接口返回数据明文暴露 APP登录态请求的数据安全性问题 代码层的数据安全问题 其中前三种问题,都可以使用加密来解决。 0x01 加密方式 MD5 AES 对称加密算法,加密速度快,资源使用率高 RSA 非对称加密算法,加密效率低,数据量大的时候加密时间比较长 0x02 如何进行加密? 将基础参数(app版本号,手机型号,sign等)放入http协议的header头中 每次http请求都携带sign 保证sign的唯一性
laravel php接口开发
06-08
Laravel 是一款行的 PHP Web 框架,它提供了一套完整的工具和库,可帮助你更快速地构建高质量的 Web 应用程序。其中包括了快速的路由系统、方便的数据库迁移、强大的认证系统等。如果你想使用 Laravel 开发接口,可以使用 Laravel 自带的路由系统来定义接口路由,并在路由回调中处理请求和响应。 以下是一个使用 Laravel 开发接口的简单示例: ```php Route::get('/api/users', function () { $users = App\User::all(); return response()->json($users); }); ``` 以上代码定义了一个 `/api/users` 的 GET 接口路由,该接口返回所有用户的 JSON 数据。可以看到,使用 Laravel 定义接口非常简单,只需要在路由回调中处理请求并返回响应即可。 如果你需要更加复杂的接口逻辑,例如处理表单数据、验证输入、访问数据库等,可以在路由回调中编写相应的代码或者将逻辑放入控制器中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值