API常用簽章驗證方法(PHP實作)

安安杰尼
發布: 2023-04-08 15:12:02
原創
198662 人瀏覽過

使用場景

現在越來越多的專案使用的前後端分離的模式進行開發,後端開發人員使用API介面傳遞資料給到前端開發進行處理展示,在一些比較重要的修改資料接口,涉及金錢,使用者資訊等修改的接口如果不做防護驗證,經常容易被人惡意刷接口,導致巨大的損失。

API簽章驗證

這裡我們引入業內比較通用的簽章驗證來對介面進行參數加密,有以下優勢。

  • 請求的唯一性:計算的簽章是唯一的,可以用來驗證。

  • 參數的可變性:參數包含時間戳參數,這就確保每次的請求計算出得簽名都是不一樣的。

  • 請求的時效:由於請求中帶有目前發起請求的時間戳參數,服務端可以對時間戳進行驗證,過濾超出時效的請求。

  • 安全:即使請求被人惡意抓包,對方惡意竄改其中的參數,那麼簽章都是錯的,參數無法修改。

實踐真理

1. 對map類型(即一組鍵值對)的待簽章資料根據鍵的大小進行排序。 map中各參數依字母順序排序,如果第一個字母相同,按第二個字母排序,依次類推。例如

{ "timestamp": "2017-06-08 09:38:00", "format": "xml", "app_id": "aabbc", "cp_extend_info": "", "sign_type": "HMAC-SHA1", "sign": "abc" }
登入後複製

那麼,排序後變成

{ "app_id": "aabbc", "cp_extend_info": "", "format": "xml", "sign_type": "HMAC-SHA1", "timestamp": "2017-06-08 09:38:00" }
登入後複製

注意:如果map包含簽名的參數(sign)需要過濾該參數的鍵值不參與簽名,沒有值的參數請不要參與簽名

2. 對排序後的map進行序列化處理成待簽名字串,拼接後的待簽名字串為

app_id=aabbc&format=xml&sign_type=HMAC-SHA1×tamp=2017-06-08 09:38:00
登入後複製

3. 根據HMAC-SHA1演算法使用金鑰提取待簽章字串的摘要(hash)簽章並進行base64_encode編碼(便於顯性傳輸與比較),假設簽章金鑰為test ,則擷取的摘要簽章並進行base64_encode的值為

JqoEqPIVVor0eyRHMYiZftsycVo=
登入後複製

注意:由於有些資料根據HTTP協定需求,在網路傳輸過程中需要進行URLencoding,這樣接收方才可以接收到正確的參數,但如果這個參數參與簽章,那麼待簽章字串必須是字串原值而非URLencoding 的值。

程式碼實作

PHP範例

/** * 使用密钥生成HMAC-Sha1签名 * @param array $params 请求参数 * @param string $signKey 签名密钥 * @return string */ function hmacSha1Sign($params,$signKey) { ksort($params); $paramString = ''; foreach ($params as $key => $value) { if (is_null($value) || $value=='' || $key == 'sign') { continue; } $paramString .= $key.'='.$value.'&'; } $paramString = substr($paramString,0,-1); $sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE)); return $sign; }
登入後複製

以上就是日常開發常用的API驗證簽章方式,很簡單又非常使用,歡迎關注以獲取更多的教學。

以上是API常用簽章驗證方法(PHP實作)的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
api
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板
關於我們 免責聲明 Sitemap
PHP中文網:公益線上PHP培訓,幫助PHP學習者快速成長!