php api验证签名

最新推荐文章于 2024-05-15 00:56:59 发布
最新推荐文章于 2024-05-15 00:56:59 发布
阅读量260 收藏 1
点赞数
分类专栏: php笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyun888_/article/details/114940341
版权

大概逻辑就是:客服端发来post数据,在发送的时候给数据加一个sign字段,字段内容是客户端和服务端通过appid和serect进行加密的字符串, 客户端和服务端的appid和serect是一样的。

服务端收到数据后,把数据按照客户端一样的方式生成sign,再进行比较,相等则说明通过,验签主要是为了验证是否是指定用户发来的请求。避免安全隐患

<?php
namespace ThreeTrafficNanchang\Controller;
use ThreeTrafficNanchang\Model\UtilModel;
use Think\Controller;
/**
 * 客户端
 * @return mixed
 * @author Yuanhang Liu & Xiaoyun Liu
 * @date 2020/10/14 00:03
 */

class ClientController extends Controller
{
    private $appid = "";
    private $secret = "";
    public function __construct()
    {
        $this->appid = "xiaoyunyunzhenshidaniuniu";
        $this->secret = "xiaohanghangzhenshidaniuniu";
    }

    public function ClientData()
    {
        //需要给服务端传的数据
        $data['create'][] = [
            "Address" => 360100,
            "CompanyId" => "1200WLCXEK1J",
            "TotalMile" => 36353.0,
            "UpdateTime" => 20201027055008,
            "VehicleNo" => "贵A370WB"
        ];
        $data['create'][] = [
            "Address" => 120000,
            "CompanyId" => "1200",
            "TotalMile" => 36.0,
            "UpdateTime" => 20201051262152,
            "VehicleNo" => "湘A370WB"
        ];
        $data['timestamp'] = time();

        $appid = $this->appid;
        $secret = $this->secret;
        //获取签名
        $sign = UtilModel::getSign($data,$appid,$secret);
        //将sign拼接到数据后
        $data['sign'] = $sign;
        //curl传值
        $res = UtilModel::posturl("www.wanglu.cn/ThreeTrafficNanchang/Servers/getClientData",$data);
        print_r($res);
    }
}
<?php
namespace ThreeTrafficNanchang\Controller;
use ThreeTrafficNanchang\Model\UtilModel;
use Think\Controller;
/**
 * 服务端
 * @return mixed
 * @author Yuanhang Liu & Xiaoyun Liu
 * @date 2020/10/14 00:03
 */

class ServersController extends Controller
{
    private $appid = "";
    private $secret = "";
    public function __construct()
    {
        $this->appid = "xiaoyunyunzhenshidaniuniu";
        $this->secret = "xiaohanghangzhenshidaniuniu";
    }

        //接收客户端数据
        public function getClientData()
    {
        $appid = $this->appid;
        $secret = $this->secret;
        $param = json_decode(file_get_contents('php://input'),true);
        //判断客户端是否传了sign
        if(!isset($param['sign'])||empty($param['sign'])){
            return json_encode(['code'=>100,'msg'=>'参数不全']);
        }
        if(!isset($param['timestamp'])||empty($param['timestamp'])){
            return json_encode(['code'=>101,'msg'=>'发送的数据参数不合法']);
        }
        // 验证请求, 10分钟失效
        if(time() - $param['timestamp'] > 600) {
            return json_encode(['code'=>101,'msg'=>'验证失效, 请重新发送请求']);
        }
        //客户端传过来的sign
        $clientSign = $param['sign'];
        unset($param['sign']);
        //服务端获取签名
        $sign = UtilModel::getSign($param,$appid,$secret);
        if($sign==$clientSign){
            echo "验证通过";
            //整理数据入库
        }else{
            echo "验证不通过";
        }
    }
}

 

<?php
namespace ThreeTrafficNanchang\Model;
use Think\Model;
class UtilModel extends Model{

    public function getSign($data,$appid,$secret){
        //对参数进行排序
        ksort($data);
        //变成url模式
        $param = http_build_query($data);
        $sign = md5($param.$appid.$secret);
        return $sign;
    }

    public function posturl($url,$data){
        $data  = json_encode($data);
        $headerArray =array("Content-type:application/json;charset='utf-8'","Accept:application/json");
        $curl = curl_init();
        curl_setopt($curl, CURLOPT_URL, $url);
        curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, FALSE);
        curl_setopt($curl, CURLOPT_SSL_VERIFYHOST,FALSE);
        curl_setopt($curl, CURLOPT_POST, 1);
        curl_setopt($curl, CURLOPT_POSTFIELDS, $data);
        curl_setopt($curl,CURLOPT_HTTPHEADER,$headerArray);
        curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($curl);
        curl_close($curl);
        return json_decode($output,true);
    }


}

 

 

 

 

 

xiaoyun888_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP签名认证
bianb123的博客
08-01 518
这两天在做第三方的签名验证,在网上看到一篇帖子还不错,分享给大家。 我也是借鉴了这个思路,然后利用redis缓存的token,进行接口的验证 &lt;?php /** * 签名认证算法 * HMAC-SHA256加密方式 * 登录认证加入access_token:access-token通过登录接口去获取,通过刷新接口去刷新,需要注意返回的过期时间,要在过期时间之前刷新重新获取ac...
PHP API签名
susy_liang的博客
10-09 230
实际普通项目中API签名验证 主要是参数和有效性验证,这两个基本能满足API的开发验证了。 请求有效性验证 每次请求都带上时间戳timestamp,服务端校验其是否在有效期内。 安全性要求更高的,客户端请求参数加上随机字符串nonce。 服务端redis记录timestamp+nonce并设置有效期。 API签名验证步骤: 1.按照键名对请求参数进行升序排序:ksort; 2.请求参数键名和键值拼...
PHP开发API接口签名生成及验证
qq_25285531的博客
03-05 765
开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 我们在设计签名验证的时候,请注意要满足以下几点: 可变性:每次的签名必须是不一样的。 时效性:每次请求的时效,过期作废等。 唯一性:每次的签名是唯一的。 完整性:能够对传入数据进行验证,防止篡改。 一、签名参数sign生成的方法 第1步...
PHP实践:用openssl打造安全可靠的API签名验证系统
黑夜开发者的博客
08-04 3268
在Web开发中,API(Application Programming Interface)是不可或缺的一部分。为了确保API请求的安全性,常常需要对API请求进行签名验证。本文将介绍如何使用PHP设计一套API签名验证的程序,并提供具体的设计步骤和代码。
2024年Go最全PHP开发api接口安全验证_php 前后端 简单接口签名(2),View的这些基础知识你必须要知道
最新发布
2401_84910962的博客
05-15 247
PHP的开发工作中,对API接口开发不会陌生,后端人员写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json, 在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证来屏蔽某些调用。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比,一样的话,返回数据。在前后台交互中,算法规则是非常重要的,前后台都要通过算法规则计算出签名,至于规则怎么制定,前后端协商确定。
php接口api数据签名及验签
php-yyds
11-17 744
api数据签名作用:通过使用签名可以验证数据在传输过程中是否被篡改或修改。接收方可以使用相同的签名算法和密钥对接收到的数据进行验证,如果验证失败则表明数据被篡改过
API常用签名验证方法(PHP实现)
JiaSureZ的博客
05-14 332
使用场景 现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。 API签名验证 这里我们引入业内比较通用的签名验证来对接口进行参数加密,有以下优势。 请求的唯一性:计算出的签名是唯一的,可以用来验证。 参数的可变性:参数中包含时间戳参数,这就保证每次的请求计算出得签名都是不一样的。 请求的时效:由于请求中带有当前发起请求的时间戳参数,
PHP接口签名校验
Pasa吴技术博客
01-06 1279
api接口签名验证
PHP开发API接口签名生成及验证操作示例
10-15
总结起来,PHP API接口签名生成和验证的核心在于通过有序参数拼接和密钥混合生成的哈希值,这个哈希值作为签名在请求中传递,服务器端再通过同样的算法重新计算签名并与接收到的签名进行比较,从而判断请求的有效性...
PHP开发api接口安全验证操作实例详解
10-15
首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算...
API接口对接生成签名验证签名
11-01
API接口生成签名验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
php 生成签名验证签名详解
10-21
在实际应用中,生成签名验证签名的过程常用于API调用、支付交易验证、数字签名等场景。确保签名机制的安全性至关重要,因为它直接关系到数据的完整性和系统的安全性。在处理敏感信息时,必须确保正确处理证书和...
php api接口验证,PHP安全:API接口访问安全
weixin_39605278的博客
03-09 484
原标题:PHP安全:API接口访问安全但是对于API服务器,不能让访问者使用Session ID进行访问,这样既不安全,也不友好。由HTTP进行通信的数据大多是未经加密的明文,包括请求参数、返回值、Cookie、Header等数据,因此,外界通过对通信的监听,便可轻而易举根据请求和响应双方的格式,伪造请求与响应,修改和窃取各种信息。所有的认证信息一定要经过加密处理,禁止身份认证信息进行明文传输,避...
RSA签名类,我还不太会用
王兆镇的博客
10-11 293
<?php namespace jplt; /** * RSA签名类 */ class Rsa { public $publicKey = ''; public $privateKey = ''; private $_privKey; /** * * private key */ private $_pubKey; /** * * public key */ private $_keyPath;
PHP常用的接口MD5加密根据密钥生成签名方法
LordForce的博客
07-01 1556
PHP接口根据密钥进行MD5加密生成签名获得小写的签名
PHP接口验签----一种简单可行的方式
编程架构三分天下:分层、分治、分时序。
03-16 3159
背景:服务端和第三方服务有接口对接,那么第三方有没有一种简单的方式判断请求发自合法的合作方呢? 有一种简洁的方式就是,双方维护同一份私钥,在发起请求的时候,发起方将当前的请求参数,按照key值进行排序,然后’key=value’拼接到私钥后面,进行md5的编码。接收方以同样的处理方式,签名一致则合法,否则非法。如下为php的对应的sig生成算法举例: //摘抄自http://docs.de...
PHP 数据签名验证及业务参数解密
杰姆小生的博客
12-12 652
3、总结 对接数据解密和验签还是挺繁琐的,不过如果第一次走通了就很好理解了,主要是要明白加密和解密的用的算法,如果对算法不明白一定要明白之后在请求 不然头发不一定在(不要问我怎么知道的),一般的rsa请求加密生成 sign的时候都是 SHA256withRSA ,不过还是看对接文档里面的数据算,一定要问清楚,加密和解密是很重要的一部分,特别是在验签的时候,一般这个验签有些不一定有用只是做一校验而已,看自己的代码逻辑处理。1、在我们获取的时候有两种形式 ,配合我上一篇。
php验签,php接口签名验证
weixin_31667199的博客
03-10 277
在做一些api接口设计时候会遇到设置权限问题,比如我这个接口只有指定的用户才能访问。很多时候api接口是属于无状态的,没办法获取session,就不能够用登录的机制去验证,那么大概的思路是在请求包带上我们自己构造好的签名,这个签名必须满足下面几点:a、唯一性,签名是唯一的,可验证目标用户b、可变性,每次携带的签名必须是变化的c、时效性,具有一定的时效,过期作废d、完整性,能够对数据包进行验证,防止...
PHP 接口开发 签名验证
逍遥侯之水流云的博客
06-16 3906
https://www.cnblogs.com/bjfy/p/5909690.html 生成token public function createToken() { $str = md5(uniqid(md5(microtime(true)),true)); //生成一个不会重复的字符串 $str = sha1($str); //加密
PHP实现API接口签名验证
06-11
// 验证签名 if ($sign != $params['sign']) { // 签名验证失败 echo "Invalid Signature"; } else { // 签名验证成功 // 执行业务逻辑 } ?> ``` 在实际应用中,为了增加安全性,可以使用更加复杂的签名算法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值