API常用签名验证方法(PHP实现)-tutorial php-php.cn

Jadual Kandungan

使用场景

API签名验证

实践出真理

代码实践

Rumah

pembangunan bahagian belakang

tutorial php

API常用签名验证方法(PHP实现)

Apr 29, 2020 pm 12:37 PM

api

使用场景

现在越来越多的项目使用的前后端分离的模式进行开发，后端开发人员使用API接口传递数据给到前端开发进行处理展示，在一些比较重要的修改数据接口，涉及金钱，用户信息等修改的接口如果不做防护验证，经常容易被人恶意刷接口，导致巨大的损失。

API签名验证

这里我们引入业内比较通用的签名验证来对接口进行参数加密，有以下优势。

请求的唯一性：计算出的签名是唯一的，可以用来验证。
参数的可变性：参数中包含时间戳参数，这就保证每次的请求计算出得签名都是不一样的。
请求的时效：由于请求中带有当前发起请求的时间戳参数，服务端可以对时间戳进行验证，过滤超出时效的请求。
安全性：即使请求被人恶意抓包，对方恶意篡改其中的参数，那么签名都是错误的，参数无法修改。

实践出真理

1. 对map类型（即一组键值对）的待签名数据根据键的大小进行排序。map中各参数按字母顺序排序,如果第一个字母相同,按第二个字母排序,依次类推。例如

{
    &quot;timestamp&quot;: &quot;2017-06-08 09:38:00&quot;,
    &quot;format&quot;: &quot;xml&quot;,
    &quot;app_id&quot;: &quot;aabbc&quot;,
    &quot;cp_extend_info&quot;: &quot;&quot;,
    &quot;sign_type&quot;: &quot;HMAC-SHA1&quot;,
    &quot;sign&quot;: &quot;abc&quot;
}

Salin selepas log masuk

那么，排序后变成

{
    &quot;app_id&quot;: &quot;aabbc&quot;,
    &quot;cp_extend_info&quot;: &quot;&quot;,
    &quot;format&quot;: &quot;xml&quot;,
    &quot;sign_type&quot;: &quot;HMAC-SHA1&quot;,
    &quot;timestamp&quot;: &quot;2017-06-08 09:38:00&quot;
}

Salin selepas log masuk

注意：如果map中包含签名的参数(sign)需要过滤该参数的键值不参与签名，没有值的参数请不要参与签名

2. 对排序后的map进行序列化处理成待签名字符串，拼接后的待签名字符串为

app_id=aabbc&amp;format=xml&amp;sign_type=HMAC-SHA1&amp;timestamp=2017-06-08 09:38:00

Salin selepas log masuk

3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要（hash）签名并进行base64_encode编码（便于显性传输和对比），假设签名密钥为 test ，则提取出的摘要签名并进行base64_encode的值为

JqoEqPIVVor0eyRHMYiZftsycVo=

Salin selepas log masuk

注意：由于有些数据根据HTTP协议需求,在网络传输过程中需要进行URLencoding,这样接收方才可以接收到正确的参数,但如果这个参数参与签名,那么待签名字符串必须是字符串原值而非URLencoding 的值。

代码实践

PHP示例

/**
 * 使用密钥生成HMAC-Sha1签名
 * @param array $params 请求参数
 * @param string $signKey 签名密钥
 * @return string
 */
function hmacSha1Sign($params,$signKey)
{
    ksort($params);
 
    $paramString = &#39;&#39;;
    foreach ($params as $key =&gt; $value) {
        if (is_null($value) || $value==&#39;&#39; || $key == &#39;sign&#39;) {
            continue;
        }
        $paramString .= $key.&#39;=&#39;.$value.&#39;&amp;&#39;;
    }
    $paramString = substr($paramString,0,-1);
    $sign = base64_encode(hash_hmac(&quot;sha1&quot;, $paramString, $signKey, $raw_output=TRUE));
    return $sign;
}

Salin selepas log masuk

以上就是日常开发中常用的API验证签名方式，很简单又非常使用，欢迎关注获取更多的教程。

Atas ialah kandungan terperinci API常用签名验证方法(PHP实现). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan Laman Web ini

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn