PHP开发api接口安全验证
场景
在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。
url 拦截规则,验证
用户登陆,验证成功后,生成token,缓存(username->token)并返回给客户端
客户端每个接口请求(除登陆接口)时,传必要的参数timestamp,token,username, sign,没传直接返回报错
timestamp作用:是否在有效期内,有效期可以设置10,20分钟,根据需求设定
比如说 过期时间设置为10分 服务接受到请求的当前时间戳是30,传过来的timestamp时间戳是10,30-10>10, 说明这个请求过期
token作用:直接与redis中的username键值 对比,如果不相等,则过期,或如果redis缓存时间过期了,也过期
sign作用:根据规则传过来的参数,生成sign,与传过来的sign对比。如果不相等,报错
Http接口安全概述:
1.1、Http接口是互联网各系统之间对接的重要方式之一,使用http接口,开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享,但由于http接口开放在互联网上,那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;1.2、目前国内互联网公司主要采用两种做法实现接口的安全:一种是以支付宝等支付公司为代表的私钥公钥签名验证机制;一种是大量互联网企业都常采用的参数签名验证机制;Http接口安全演进:
2.1.完全开放的接口(完全开放)2.2.接口参数签名(基本安全)2.3.接口参数签名+时效性验证(更加安全)2.4.接口参数私钥签名公钥验签(固若金汤)2.5.接口参数签名+Https(金钟罩)2.6.口参数私钥签名公钥验签+Https(金钟罩)总之:安全是相对的,只有相对的安全,没有绝对的安全!
示意图
原理
从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。
时间戳:当前时间
随机数:随机生成的随机数
口令:前后台开发时,一个双方都知道的标识,相当于暗号
算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。
前台生成一个签名,当需要访问接口的时候,把时间戳,随机数,签名通过URL传递到后台。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比,一样的话,返回数据。
算法规则
在前后台交互中,算法规则是非常重要的,前后台都要通过算法规则计算出签名,至于规则怎么制定,看你怎么高兴怎么来。
我这个算法规则是时间戳,随机数,口令按照首字母大小写顺序排序
然后拼接成字符串
进行sha1加密
再进行MD5加密
转换成大写
前台源代码
这里我并没有实际的前台,直接使用一个PHP文件代替前台,然后通过CURL模拟GET请求。我使用的是TP框架,URL格式是pathinfo格式。
<?php
/*** Created by PhpStorm.* User: Administrator* Date: 2017/3/16 0016* Time: 15:56*/
namespace Client\Controller;
use Think\Controller;class ClientController extends Controller{const TOKEN = 'API';//模拟前台请求服务器api接口public function getDataFromServer(){//时间戳$timeStamp = time();//随机数$randomStr = $this -> createNonceStr();//生成签名$signature = $this -> arithmetic($timeStamp,$randomStr);//url地址$url = "http://www.apitest.com/Server/Server/respond/t/{$timeStamp}/r/{$randomStr}/s/{$signature}";$result = $this -> httpGet($url);dump($result);}//curl模拟get请求。private function httpGet($url){$curl = curl_init();//需要请求的是哪个地址curl_setopt($curl,CURLOPT_URL,$url);//表示把请求的数据已文件流的方式输出到变量中curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);$result = curl_exec($curl);curl_close($curl);return $result;}//随机生成字符串private function createNonceStr($length = 8) {$chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";$str = "";for ($i = 0; $i < $length; $i++) {$str .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);}return "z".$str;}/*** @param $timeStamp 时间戳* @param $randomStr 随机字符串* @return string 返回签名*/private function arithmetic($timeStamp,$randomStr){$arr['timeStamp'] = $timeStamp;$arr['randomStr'] = $randomStr;$arr['token'] = self::TOKEN;//按照首字母大小写顺序排序sort($arr,SORT_STRING);//拼接成字符串$str = implode($arr);//进行加密$signature = sha1($str);$signature = md5($signature);//转换成大写$signature = strtoupper($signature);return $signature;}
}
?>
服务器端源代码
接受前台数据进行验证
<?php
/*** Created by PhpStorm.* User: Administrator* Date: 2017/3/16 0016* Time: 16:01*/
namespace Server\Controller;
use Think\Controller;class ServerController extends Controller{const TOKEN = 'API';//响应前台的请求public function respond(){//验证身份$timeStamp = $_GET['t'];$randomStr = $_GET['r'];$signature = $_GET['s'];$str = $this -> arithmetic($timeStamp,$randomStr);if($str != $signature){echo "-1";exit;}//模拟数据$arr['name'] = 'api';$arr['age'] = 15;$arr['address'] = 'zz';$arr['ip'] = "192.168.0.1";echo json_encode($arr);}/*** @param $timeStamp 时间戳* @param $randomStr 随机字符串* @return string 返回签名*/public function arithmetic($timeStamp,$randomStr){$arr['timeStamp'] = $timeStamp;$arr['randomStr'] = $randomStr;$arr['token'] = self::TOKEN;//按照首字母大小写顺序排序sort($arr,SORT_STRING);//拼接成字符串$str = implode($arr);//进行加密$signature = sha1($str);$signature = md5($signature);//转换成大写$signature = strtoupper($signature);return $signature;}
}
?>
结果
`string(57) "{"name":"api","age":15,"address":"zz","ip":"192.168.0.1"}"`总结
这种方法只是其中的一种方法,其实还有很多方法都是可以进行安全验证的。
PHP开发api接口安全验证相关推荐
- php接口开发 安全_PHP开发api接口安全验证的实例讲解
php的api接口 在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道 ...
- api怎么写_PHP开发api接口安全验证
php中文网最新课程 每日17点准时技术干货分享 php的api接口 在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情 ...
- web api接口开发实例_C# 物联网开发API接口系列(4)
C# 物联网开发API接口系列(四) #久爱物联网#MQTT# [提纲] 1)获取设备列表(某用户的) 2)单独检查设备是否存在合法 [正文] /// /// 获取设备列表 /// /// 令牌 // ...
- php api查询开发,PHP开发API接口(注册、登录、查询用户信息)的实例代码
本节主要内容: php开发API接口的实现代码 一.PHP API接口的服务端部分 复制代码 代码示例: /** * PHP开发API接口 服务端 * edit: www.jbxue.com */ r ...
- 智表ZCELL产品V1.4.0开发API接口文档 与 产品功能清单
为了方便大家使用ZCELL,应网友要求,整理编写了相关文档,现与产品一起同步发布,供大家下载使用,使用过程中如有疑问,请与我QQ联系. 智表(ZCELL)V1.4.0版本 功能清单文档下载地址: 功 ...
- php api查询开发,PHP 开发API接口 登记,登录,查询用户资料
PHP 开发API接口 注册,登录,查询用户资料 服务端 0) { exit(json_encode(1)); //返回1表示注册失败 } else { $addsql = "insert ...
- 个人微信号二次开发sdk协议,微信个人号开发API接口
个人微信号二次开发sdk协议,微信个人号开发API接口 微信SDK程序概要说明 个人微信号开发sdk非微信ipad协议.非mac协议,非安卓协议,api可实现微信99%功能: 无需扫码登录.可收发朋友 ...
- java系统智能手表_java_智能手表开发API接口,随着移动技术的发展,许多传 - phpStudy...
智能手表开发API接口 随着移动技术的发展,许多传统的电子产品也开始增加移动方面的功能,比如过去只能用来看时间的手表,现今也可以通过智能手机或家庭网络与互联网相连,显示来电信息.邮件.照片.新闻.天气 ...
- 微信ipad安卓协议,微信开发API接口大全
微信ipad安卓协议,微信开发API接口大全 目前市面上用于微信个人号的所有API协议,主要包括 web版微信协议, ipad协议 , pc微信协议/mac协议 , hook pc版微信 , hook ...
最新文章
- Java面试通关要点汇总集之核心篇参考答案
- 员外带你读论文:LINE: Large-scale Information Network Embedding
- 中小企业应如何选择合适的数据保护工具?
- 第十二届蓝桥杯青少年python组 第1-3题 C++实现
- 优秀博客 --敏感词汇过滤
- 基于JAVA+SpringMVC+Mybatis+MYSQL的学生公寓管理系统
- idea控制台搜索功能
- Eclipse中添加Windows Builder进行Swing图形界面设计
- 并联机器人自由度计算
- java rest 知乎_JavaWeb开发之模仿知乎首页完整代码
- Fastlane使用说明
- VMware vCenter Converter 物理机迁移
- uniapp使用第三方字体
- 常见端口号一览(详细)
- Cesium位置拾取
- 广义表,长度是( ),深度是( )
- Java模拟HTTP/POST方式请求接口
- reactnative 京豆
- 提高国内VSCode下载速度,包含deb等格式
- 一键批量修改零部件名称,这款工具你值得拥有!