打赏

API常用签名验证方法(PHP实现)

使用场景

现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。

API签名验证

这里我们引入业内比较通用的签名验证来对接口进行参数加密,有以下优势。

  • 请求的唯一性:计算出的签名是唯一的,可以用来验证。

  • 参数的可变性:参数中包含时间戳参数,这就保证每次的请求计算出得签名都是不一样的。

  • 请求的时效:由于请求中带有当前发起请求的时间戳参数,服务端可以对时间戳进行验证,过滤超出时效的请求。

  • 安全性:即使请求被人恶意抓包,对方恶意篡改其中的参数,那么签名都是错误的,参数无法修改。

实践出真理

1. 对map类型(即一组键值对)的待签名数据根据键的大小进行排序。map中各参数按字母顺序排序,如果第一个字母相同,按第二个字母排序,依次类推。例如

 1 {
 2 
 3     "timestamp": "2017-06-08 09:38:00",
 4 
 5     "format": "xml",
 6 
 7     "app_id": "aabbc",
 8 
 9     "cp_extend_info": "",
10 
11     "sign_type": "HMAC-SHA1",
12 
13     "sign": "abc"
14 
15 }

那么,排序后变成

 1 {
 2 
 3     "app_id": "aabbc",
 4 
 5     "cp_extend_info": "",
 6 
 7     "format": "xml",
 8 
 9     "sign_type": "HMAC-SHA1",
10 
11     "timestamp": "2017-06-08 09:38:00"
12 
13 }

注意:如果map中包含签名的参数(sign)需要过滤该参数的键值不参与签名,没有值的参数请不要参与签名

2. 对排序后的map进行序列化处理成待签名字符串,拼接后的待签名字符串为

app_id=aabbc&format=xml&sign_type=HMAC-SHA1&timestamp=2017-06-08 09:38:00

3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要(hash)签名并进行base64_encode编码(便于显性传输和对比),假设签名密钥为 test ,则提取出的摘要签名并进行base64_encode的值为

JqoEqPIVVor0eyRHMYiZftsycVo=

注意:由于有些数据根据HTTP协议需求,在网络传输过程中需要进行URLencoding,这样接收方才可以接收到正确的参数,但如果这个参数参与签名,那么待签名字符串必须是字符串原值而非URLencoding 的值。

代码实践

PHP示例

 1 <?php
 2 
 3 class Sign
 4 {
 5     public function hmacSha1Sign($params, $signKey)
 6     {
 7         ksort($params);
 8         $paramString = '';
 9 
10         foreach ($params as $key => $value) {
11             if (is_null($value) || $value == '' || $key == 'sign') {
12                 continue;
13             }
14 
15             $paramString .= $key . '=' . $value . '&';
16         }
17         $paramString = substr($paramString, 0, -1);
18 
19         $sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output = TRUE));
20         return $sign;
21     }
22 
23     public function getsign()
24     {
25         $params = [
26             "timestamp" => "2017-06-08 09:38:00",
27             "format" => "xml",
28             "app_id" => "aabbc",
29             "cp_extend_info" => "",
30             "sign_type" => "HMAC-SHA1",
31             "sign" => "abc"
32         ];
33 
34         $sign = $this->hmacSha1Sign($params, '123dsfd55154jjh');
35         return $sign;
36     }
37 }
38 
39 $a = new Sign();
40 echo $a->getsign();

 

链接:https://www.php.cn/php-weizijiaocheng-448286.html

posted on 2020-05-20 09:38  头大的冯冯  阅读(647)  评论(0编辑  收藏  举报

导航